本文分析了攻击者利用物联网设备默认配置漏洞,将其用作代理发起基于HTTP的大规模凭据滥用攻击。攻击者通过SSH选项将设备转换为SOCKS代理进行恶意活动。文章指出漏洞根本原因,并为最终用户和设备供应商提供应对建议,还提及部署物联网安全的5个基本要素。
点击上方“昆仑联通”,选择关注公众号
众多IT干货 持续分享
物联网设备正在被利用并对第三方受害者发起攻击。攻击者利用物联网设备对客户发起基于 HTTP 的大规模凭据滥用攻击。此次攻击并非新型的漏洞或攻击技术,而是物联网设备的很多默认配置中存在的一种漏洞。
通过分析,发现这种攻击的几个共同特点,得出攻击者是将物联网设备用作代理,将恶意流量路由至受害者网站。通过实验室快速检查显示,SSH 守护程序 (sshd) 是为所有活动 HTTP/HTTPS 连接负责的进程。而该进程由名为“admin”的用户执行。此用户是出厂默认的管理员,随该品牌的 NVR系统一起提供。供应商的文档还显示该用户配置了默认密码“admin”。检查出厂默认设备,发现“admin:admin”凭据对允许我们连接到基于 Web 的配置界面。但是,默认配置不允许“admin”用户通过 SSH 连接到设备 - 如 /etc/passwd 文件中所示(“command/shell”字段设置为 /sbin/nologin)。
通过这次试验发现以下事实:
• 远程用户能够使设备生成 HTTP 流量;
• 远程用户在使用设备的 SSH 守护程序;
• SSH 守护程序由出厂默认的“admin”用户执行;
• “admin”用户没有活动的 shell 会话,这是合理的,因为“admin”用户将“/sbin/nologin”配置为了 shell。
通过推理并推测攻击者可能正在通过使用 -D 选项利用SSH 功能充当 SOCKS 代理,SSH 手册页对此提供了如下描述:
“[-D] 指定本地动态应用程序级端口转发...只要与此端口建立连接,就会通过安全通道转发连接,然后使用应用程序协议确定从远程计算机连接到的位置。目前支持 SOCKS4 和SOCKS5 协议,SSH 将充当SOCKS 服务器。”
为了克服上面提到的 /sbin/nologin 限制,攻击者可能会利用另一个有趣的 SSH 选项-N,SSH 的手册页对此进行了如下描述:
“不要执行远程命令。这对于转发端口非常有用(仅限协议版本 2)。”
-D 和 -N SSH 选项的组合允许远程用户(他们知道设备的“admin”用户的凭据,该凭据具有公开的出厂默认值)将设备转换为 SOCKS 代理并利用它进行恶意活动 - 尽管设备上的配置被认为是“经过强化”。同样,攻击者可以使用 -L 和 -N 选项配置显式代理,以便与不易使用 SOCKS 的攻击工具一起使用。实验室设备的快速验证表明,这种弱点确实很容易被利用。
首先,攻击者必须形成 SSH 隧道。通过此 SSH 隧道路由的任何流量都将显示为源自 NVR 设备的 IP 地址。
导致此漏洞的根本原因是:
• 设备附带出厂默认管理帐户,其凭据已公开(例如 admin:admin);
• 该设备允许远程 SSH 连接;
• SSH 守护程序配置为允许 TCP 转发 ;(AllowTcpForwarding = true),这使得 /sbin/nologin 强化技术对此类攻击无效。
从 NVR 到 ioT ,远程用户正在利用 NVR 设备的弱出厂默认配置来启动帐户检查攻击。从物联网到内部网络危害 ,一旦物联网设备允许远程用户形成 SSH 隧道,并将其用作SOCKS 代理,攻击者不仅限于对面向互联网的服务器进行攻击,还可以作为“抢滩点”对托管互联网连接设备的内部网络发动攻击。
如何面对此次攻击活动
最终用户
1. 始终更改任何连接到互联网的设备的出厂默认凭据;
2. 除非正常操作需要,否则请在任何连接到互联网的设备上完全禁用 SSH 服务。如果需要 SSH,请将 sshd_config 配置为“AllowTcpForwarding No”;
3. 不妨考虑建立入站防火墙规则,以防止受信任的 IP 空间(范围较窄,例如内部网络)之外的 SSH 访问您的物联网设备;
4. 不妨考虑在网络边界建立物联网设备的出站防火墙规则,以防止建立的隧道导致成功的出站连接。
设备供应商
1. 避免用没有记录的帐户运输物联网设备;
2. 禁用设备上的 SSH,除非对于正常运行来说是绝对必要的;
3. 要求用户在初始安装后更改出厂默认帐户凭据;
4. 将 SSH 配置为禁止 TCP 转发;
5. 向最终用户提供安全的进程来更新 sshd 配置,使最终用户可以缓解未来可能出现的漏洞,而无需安装固件补丁。
部署物联网安全需要考虑的5个基本要素:
1. 软件安全性随着时间而降低,开发人员称之为“代码腐烂”
a)所有软件都需要维护和更新,需要修补错误和安全漏洞。
b)制造商需要一种方法来使loT传感器和设备在具有受限网络和多种标准的非常分散和不受控制的环境中进行修补。
c)他们需要提供设备生命周期的更新,他们必须能够快速推送更新以修补关键漏洞。
2.静态密码不保密
a)默认或硬编码密码会随着时间的推移而迅速成为安全问题。
b)最近的例子,包括Mirai,展示了恶意软件利用这种情况如何接管物联网设备以进行DDoS海啸式攻击。
c)新设备必须在首次使用时提示更改密码。
d)证书和加密密钥需要按设定的时间间隔进行更新。
3.弱配置持续存在
a)除非用户更改,否则IoT设备的默认配置将保持不变。
b)制造商以最不安全的状态运送物联网设备并让设备所有者负责采取措施来提高安全性。
c)供应商必须将默认配置设置为最安全的选择。
d)默认情况下,只有知道自己正在做什么的用户才能有意识地做出降低安全性的决策,比如打开公共端口。
4.没有生命周期管理数据只会累
a)由于从物联网设备生成的所有数据,数据的安全性以及数据的创建,使用和删除方式变得非常重要。
b)如果数据落入坏人手中会发生什么?随着时间的推移,可能会出现不同看似不同的数据集之间的联系。
c)物联网设备会累积大量个人数据,例如语音搜索,GPS位置或心率信息。
d)如果数据不受管理和保护,则可能导致隐私丢失和数据所有权问题。
5.保护在恶劣环境中运行的设备
a)物联网设备通常在没有任何人为监督的情况下运行。
b)此类设备必须坚固耐用并且能够抵抗物理篡改,并且能够在受到攻击时发出警报。
c)物联网服务的管理员需要能够安全地自动降级和停用已失败或受损的设备。
Com&Lan提供一站式全生命周期的信息安全服务,包括等保咨询、等保认证、信息安全托管服务、抗DDOS服务,以支持企业客户落地持续信息安全评估、持续保护IT资产、快速响应安全威胁事件。
安全托管服务(MSS)产品手册
推荐阅读
昆仑联通为医药行业信息安全保驾护航
Avepoint Cloud Backup 产品手册
企业IT运维整体解决方案 | 干货
Win7即将停服,升级Win10迫在眉睫!
6.7亿美元!负载均衡软硬合璧
扫一扫
8505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
