Akamai Diversity
Home > Web Security > SSHowDown ou quand les objets connectés se rebiffent

SSHowDown ou quand les objets connectés se rebiffent

Deux chercheurs de l'équipe Threat Research d'Akamai, Ory Segal et Ezra Caltum, ont identifié une série de récentes attaques lancées par des pirates informatiques exploitant des terminaux IoT (Internet des objets) pour générer des attaques à distance, notamment celles de type « credential stuffing » qui consistent à tester des mots de passe sur des sites, mots de passe préalablement dérobés par d'autres sites connus, comme Yahoo récemment, ou des dénis de service distribués (DDoS) qui ont récemment atteint des débits de 600Gbps à 1Tbps au niveau de leurs cibles.  Ils décrivent dans un rapport complet (http://akamai.me/2dTsrg8) les détails de ces attaques dont la méthode utilisée a été appelée SSHowDowN Proxy. 

Il ne s'agit pas d'un nouveau type de vulnérabilité ou d'attaque, mais bien d'une faiblesse de configuration, présente dans les configurations par défaut de nombreux terminaux connectés à Interne, alliée à l'exploitation d'une vieille faille corrigée en 2014 mais qui ne l'est pas sur bon nombre de terminaux IoT. Ces terminaux sont désormais activement exploités lors des séries d'attaques de grande ampleur visant des clients d'Akamai.

 L'équipe Threat Research a révélé l'existence d'attaques SSHowDowN Proxy provenant des types de terminaux suivants :

  • Caméras de vidéosurveillance, enregistreurs vidéo réseau, enregistreurs vidéo numériques ;
  • Antennes satellites ;
  • Terminaux réseau (routeurs, hotspots, modems WiMax, câble et ADSL, etc.) ;
  • Terminaux NAS connectés à Internet (stockage en réseau) ;
  • D'autres terminaux peuvent également être ciblés.

Les terminaux compromis sont utilisés pour :

  • Mener des attaques contre une multitude de cibles et services Internet (HTTP, SMTP, analyse réseau, etc.) ;
  • Mener des attaques contre les réseaux internes qui hébergent ces terminaux connectés.

Une fois présents dans la console d'administration Web, les utilisateurs malveillants peuvent pirater les données du terminal concerné et, dans certains cas, prendre le contrôle intégral de la machine.

 Protection

Plusieurs mesures de protection sont recommandées :

  • Si le terminal offre un moyen de modifier les clés ou mots de passe SSH définis par défaut par le fournisseur, il est vivement conseillé de le changer ;
  • Si le terminal fournit un accès direct au système de fichiers :
    • Ajoutez « AllowTcpForwarding No » dans le fichier sshd_config ;
    • Ajoutez « no-port-forwarding » et « no-X11-forwarding » dans le fichier ~/ssh/authorized_ keys pour tous les utilisateurs ;
    • Si aucune de ces deux options n'est possible, ou si l'accès SSH n'est pas requis pour une utilisation normale, désactivez intégralement SSH via la console d'administration du terminal.

Si le terminal est protégé par un pare-feu, envisagez une ou plusieurs des solutions suivantes :

  • Désactivez les connexions entrantes reliées à l'extérieur du réseau sur le port 22 de l'ensemble des terminaux IoT déployés ;
  • Désactivez les connexions sortantes reliées aux terminaux IoT, à l'exception des ports et adresses IP nécessaires à leur bon fonctionnement.

 Akamai poursuit la surveillance et l'analyse des données liées à cette menace permanente de l'Internet des objets. Pour en savoir plus, l'étude est téléchargeable sur http://akamai.me/2dTsrg8

Laisser un commentaire