Identifican nuevos ataques a la vulnerabilidad de OpenSSH
- Seguridad
Los atacantes se hacen con el control de distintos dispositivos del Internet de las Cosas para lanzar ataques de forma remota usando la vulnerabilidad de doce años de antigüedad denominada SSHowDowN Proxy.
Los investigadores de Akamai Technologies han confirmado el incremento de los ataques en los que se han utilizado los dispositivos del Internet de las Cosas (IoT) para generar tráfico de ataques de forma remota usando una vulnerabilidad de doce años de antigüedad en OpenSSH, denominada SSHowDowN Proxy. No es en sí, por tanto, un nuevo tipo de vulnerabilidad ni una técnica de ataque novedosa, sino una debilidad continuada presente en muchas configuraciones predeterminadas de dispositivos conectados a Internet. Lo que ocurre es que estos dispositivos se están explotando ahora de forma activa en campañas de ataque masivas.
En concreto, el equipo de investigación de la compañía cita una serie de dispositivos IoT afectados como los equipos videovigilancia (circuitos cerrados de televisión, grabadoras de vídeo en red y de vídeo digital…), las antenas de satélites, las soluciones de red (routers, puntos de acceso, WiMax, módems...) o los equipos NAS conectados a Internet, entre otros. Todos ellos se han utilizado para organizar ataques contra multitud de objetivos en Internet y servicios orientados a Internet, como HTTP, SMTP y escaneos de red; así como para diseñar ataques contra las redes internas que alojan estos dispositivos conectados.
En opinión de Ory Segal, director senior de Investigación de Amenazas de Akamai, “continúan saliendo nuevos dispositivos de las fábricas que, además de seguir presentando esta vulnerabilidad expuesta, no ofrecen formas efectivas de solucionarla. Llevamos años escuchando que, desde el punto de vista teórico, podían llevarse a cabo ataques a través de dispositivos del IoT. Lamentablemente, nuestro temor se ha hecho realidad”, confirma el directivo.
Por todo ello, la compañía recomienda realizar una serie de acciones para mitigar el daño. Por ejemplo, si el dispositivo ofrece acceso para alterar las contraseñas o las claves de SSH, hay que modificar los valores predeterminados establecidos por los proveedores; o si permite el acceso directo a los sistemas de archivos, habría que agregar “AllowTcpForwarding No” al fichero global sshd_config, y “no-port-forwarding” y “no-X11-forwarding” al archivo de claves ~/ssh/authorized_ de todos los usuarios. Finalmente, si ninguna de estas dos opciones está disponible, o si el acceso a SSH no es obligatorio para el funcionamiento normal del sistema, habría que desactivar SSH completamente a través de la consola de administración del dispositivo.
Recomendaciones que te puedan interesar…
