Οι επιτιθέμενοι χρησιμοποιούν IoT συσκευές ως proxies για κακόβουλη κίνηση αξιοποιώντας μια επιλογής ρύθμισης σε SSH daemons, που τους επιτρέπει να χρησιμοποιήσουν ένα 12-χρονο OpenSSH ελάττωμα για να στείλουν την κυκλοφορία εκτός του IοT εξοπλισμού.

Το ελάττωμα είναι  το CVE-2004-1653, ένα θέμα ασφαλείας που ανακαλύφθηκε το 2004 και patchαρ-ίστηκε στις αρχές του 2005, προκλήθηκε από ένα default configuration που μεταφέρθηκε στο OpenSSH (sshd).

Σύμφωνα με το MITRE και τους ειδικούς σε θέματα ασφάλειας, Jordan Sissel και Joey Hess, παλαιότερες εκδόσεις του OpenSSH client επέτρεπαν την TCP προώθηση στις προεπιλεγμένες ρυθμίσεις, οι οποίες στη συνέχεια επέτρεπαν τον απομακρυσμένο έλεγχο ταυτότητας χρηστών για να εκτελούν ένα port bounce.

Το ελάττωμα δεν ήταν σοβαρό, δεδομένου ότι οι επιτιθέμενοι χρειάζονται SSH πρόσβαση στη συσκευή, αλλά αφότου ένας εισβολέας έκανε brute-force για να μπει σε συστήματα που χρησιμοποιούν μη ασφαλή SSH διαπιστευτήρια, θα μπορούσε να έχει κέρδος από αυτά τα μηχανήματα, ως μέρος των προς μίσθωση proxy υπηρεσιών που πωλούνται online.

Ενώ το OpenSSH δεν έχει προτείνει αυτή την default configuration επιλογή για χρόνια, το OpenSSH έχει ενσωματωθεί σε δισεκατομμύρια IoT συσκευές που έχουν εξαπλωθεί σε όλο τον κόσμο.

Με βάση αυτά που γνωρίζουμε τώρα, οι περισσότερες από αυτές τις συσκευές είναι τα θύματα των Telnet και SSH brute-force επιθέσεων

σε τακτική βάση και προστίθενται στα DDoS botnets κάθε μέρα.

Επειδή οι IοT συσκευές δεν έχουν τις hardware δυνατότητες για να υποστηρίξουν πολύπλοκες λειτουργίες, το μόνο καλό -σε ένα IoT botnet- που μπορεί να χρησιμοποιηθεί είναι για να ξεκινήσει άλλες brute-force επιθέσεις, να εξαπολύσει επιθέσεις DDoS και κατευθύνει την κακόβουλη κίνηση.

Σύμφωνα με ένα threat advisory που κυκλοφόρησε από την Akamai χθες, η ομάδα ασφαλείας της εταιρείας λέει ότι ανιχνεύθηκαν μεγάλες ποσότητες κακόβουλης κίνησης που προέρχονταν από IoT συσκευές.

Μια περαιτέρω διερεύνηση του θέματος αποκάλυψε ότι οι απατεώνες έχουν κάνει brute-force στις IοT συσκευές, μεταβάλλοντας τις SSH διαμορφώσεις τους ενεργοποιώντας την “AllowTcpForwarding” επιλογή και στη συνέχεια, χρησιμοποίησαν αυτές τις συσκευές ως proxies για όλα τα είδη της κακόβουλης κίνησης.

Αυτό επιτρέπει στους επιτιθέμενους να συγκαλύψουν την πραγματική προέλευση των επιθέσεων τους: Μπορεί να είναι DDoS επιθέσεις, κανονική Web κυκλοφορία, άλλες brute-force επιθέσεις ή οποιοδήποτε άλλο είδος Internet πακέτων που μπορεί να μεταδοθεί από μία IoT συσκευή.

Για την πρόληψη αυτών των επιθέσεων, τις οποίες η Akamai εντόπισε την υπό την κωδική ονομασία SSHowDowN Proxy, η εταιρεία προτείνει τα ακόλουθα αμυντικά μέτρα: