Una vulnerabilidad en SSH de hace 12 años amenaza a los dispositivos IoT
Investigadores de Akamai Technologies han hallado una vulnerabilidad presente en OpenSSH desde hace 12 años que los hackers podrían estar usando ahora para atacar a dispositivos del Internet de las Cosas, y al que han bautizado como SSHowDowN Proxy.
Los investigadores dicen que los hackers ya se están aprovechando de la vulnerabilidad de SSH para atacar dispositivos CCTV, NVR y DVR, equipamientos de antenas de satélites, dispositivos de redes como routers o puntos de acceso y dispositivos NAS conectados a Internet. Todos esos dispositivos están siendo usados para realizar ataques contra “una multitud de objetivos en Internet y servicios como HTTP, SMTP y escaneo de redes”, según los investigadores. La vulnerabilidad en SSH también está siendo usada para atacar redes internas con dispositivos IoT conectados. Los hackers pueden incluso tomar el control del dispositivo vulnerable y manipular sus datos.
La mejor manera de mitigar esta amenaza es cambiando la configuración por defecto de los dispositivos IoT realizando lo siguiente:
En el fichero sshd_config hay que añadir la siguiente línea:
AllowTcpForwarding No
En el fichero ~/ssh/authorized_ keys hay que añadir las siguientes líneas:
no-port-forwarding no-X11-forwarding
Con esas opciones no disponibles o si un acceso de SSH no es requerido por el dispositivo para operar normalmente, SSH tendría que estar totalmente desactivado a través de la consola de administración del dispositivo. En caso de tener un firewall, se recomienda hacer lo siguiente:
- Desactivar las conexiones entrantes del exterior de la red hacia el puerto 22 de cualquier dispositivo IoT implementado.
- Desactivar las conexiones de salida desde cualquier dispositivo IoT excepto un conjunto mínimo de puertos y direcciones IP requeridos para las operaciones.
Tatu Ylönen, inventor del protocolo SSH, ha comentado lo siguiente sobre la vulnerabilidad: “Examinándolo de forma detallada, este ataque es peligroso de varias maneras. Primero, permite a los atacantes ocultar sus rastros mediante la delimitación de sus ataques a través de cualquier cantidad de dispositivos IoT que contenga la vulnerabilidad. Segundo, si los dispositivos son accesibles desde Internet, por ejemplo para permitir el mantenimiento por parte del vendedor a través de actualizaciones, puede ser usado como túnel de conexión desde Internet a la Intranet, básicamente saltándose el firewall. Esto puede ir más lejos si se combina con otros ataques como los de fuerza bruta o los basados en claves de SSH para penetrar en los sistemas ubicados en la red corporativa”.
Además de lo mencionado para los ficheros de configuración y el firewall, Tatu Ylönen recomienda el uso de sistemas para controlar y prevenir los túneles de SSH en el firewall y tener visibilidad sobre los accesos del vendedor.
Fuente: Muyseguridad.net