В настройках старых версий клиентов OpenSSH по умолчанию активирована функция TCP-перенаправления.
С помощью конфигурационной опции в демонах SSH хакеры используют устройства «Интернета вещей» (IoT) в качестве прокси при передаче вредоносного трафика. Для этого они эксплуатируют уязвимость в OpenSSH 12-летней давности.
CVE-2004-1653 была обнаружена в 2004 году и исправлена в начале 2005 года. Уязвимость затрагивала конфигурацию по умолчанию в OpenSSH (sshd). Дело в том, что в заводских настройках старых версий клиентов OpenSSH была активирована функция TCP-перенаправления, благодаря чему удаленные аутентифицированные пользователи могли осуществлять проброс портов.
Уязвимость не считалась опасной, поскольку для ее эксплуатации у атакующего должен быть доступ к устройству по SSH. Тем не менее, если злоумышленнику удастся получить доступ к системе с помощью брутфорс-атаки (путем подбора учетных данных из списка незащищенных паролей), он может использовать ее в качестве прокси.
Вышеупомянутая функция уже в течение многих лет отсутствует в OpenSSH, однако данное ПО используется во многих устройствах «Интернета вещей» по всему миру. Поскольку функции их аппаратного обеспечения весьма ограниченны, ботнеты из IoT-устройств используются только для осуществления брутфорс- и DDoS-атак, а также для передачи трафика.
Согласно отчету Akamai, опубликованному 12 октября текущего года, эксперты зафиксировали большой объем вредоносного трафика, источником которого являются IoT-устройства. Злоумышленники осуществляют брутфорс-атаки на гаджеты «Интернета вещей», изменяют настройки конфигурации SSH, активировав опцию «AllowTcpForwarding», а затем используют эти устройства в качестве прокси для передачи трафика. Таким образом хакерам удается скрыть истинный источник любой атаки, будь то брутфорс или DDoS.
Собираем и анализируем опыт профессионалов ИБ