ممکن است دستگاههای متصل به اینترنت که متعلق به شما هستند، جاسوسی شما را کنند؟
ما در حال حاضر میدانیم که دستگاههای(۱) IoT به شدت ناامن هستند و مهاجمان آنها را به شبکههای botnet خود به منظور انجام حمله DDoS علیه سرویسهای هدف، متصل میکنند.
اما این دستگاههای متصل شده تنها به اداره کردن حملات DDoS محدود نمیشوند؛ آنها پتانسیل بیشتری برای ضرر رساندن به شما دارند.
یک تحقیق جدید که در آدرس زیر قرار دارد، نشان میدهد که چگونه حملات ناشناس از آسیبپذیری ۱۲ ساله در OpenSSH استفاده میکنند تا به طور مخفیانه کنترل میلیونها دستگاه متصل را بدست گیرند.
سپس مهاجمان این دستگاهای آسیبپذیر را تبدیل به پروکسیهایی برای ترافیکهای مخرب کرده تا بر پایه اینترنت و سرویسهای internet-facing، حملات خود را انجام دهند.
برخلاف حملات اخیر از طریق باتنت Mirai، حمله هدفمند جدیدی به نام SSHowDowN Proxy ساخته شده که از دستگاههای IoT نظیر موارد زیر استفاده میکند:
- دستگاههای متصل به اینترنت (Network Attached Storage (NSA
- دستگاههای CCTV ،NVR ،DVR (نظارت ویدیویی)
- تجهیزات آنتنهای ماهواره
- دستگاههای شبکه نظیر مسیریابها، وایمکس، کابل و مودمهای ADSL
- دستگاههای دیگر نیز میتوانند حساس باشند.
از همه مهمتر، حمله SSHowDowN Proxy بیش از یک دهه است که نقص تنظیمات پیشفرض قدیمی (CVE-2004-1653) در OpenSSH که در ابتدا در سال ۲۰۰۴ کشف شد و در اوایل سال ۲۰۰۵ اصلاح شد، را مورد بهرهبرداری قرار داده است. این عیب، TCP forwarding را هنگامی که پروکسی در حال استفاده است فعال میکند.
با این حال، بعد از تحلیل کردن آدرسهای IP بدست آمده از سکوی Cloud Security Intelligence، شرکت Akamai تخمین زده است که بیش از ۲ میلیون از دستگاههای شبکه و IoT توسط حملههای از نوع SSHowDowN به خطر افتادهاند.
به علت امنیت پایین اعتبارنامه(۲)، مهاجمان میتوانند دستگاههای IoT را در معرض خطر قرار داده و سپس از آنها استفاده کنند تا حملههایی را “علیه چندین هدف اینترنتی و سرویسهای internet-facing مانند HTTP ،SMTP و جستجوگر شبکه” انجام دهند و همچنین حملاتی علیه شبکههای داخلی که میزبان این دستگاههای متصل هستند را نیز به سرانجام برسانند.
از آنجا که مهاجمان، به کنسول مدیریتی وبِ دستگاههای آسیبپذیر دسترسی دارند، این امکان برای آنها وجود دارد اطلاعات دستگاه را به مخاطره بیاندازند و در بعضی موارد به طور کامل اختیار ماشین آلوده شده را در دست گیرند.
مادامی که نقص به خودی خود حساس نباشد، این شرکت میگوید عدم موفقیت فروشندگان برای امنسازی دستگاههای IoT به همراه اجرای گواهینامههای پیشفرض و hard-coded، در را برای مهاجمان باز گذاشته است تا از آنها بهرهبرداری کنند.
بر طبق گفته این شرکت، حداقل ۱۱ عدد از مشتریان Akamai در صنایعی مانند سرویسهای مالی، خردهفروشی و بازیها مورد حمله SSHowDowN Proxy قرار گرفتهاند.
این شرکت در حال حاضر در حال کار با بیشتر فروشندگان مطرح دستگاهها برای ارائه یک پیشنهاد برای کاهش این خطرات است.
چگونه میتوان این چنین حملاتی را کاهش داد؟
اگر شما صاحب یک دستگاه قهوهساز، ترموستات یا هر دستگاه IoT هستید، میتوانید از طریق تغییر دادن گواهیهای پیش فرض کارخانه(۳) دستگاه به محض اینکه آن را فعال کردید و همچنین غیرفعال کردن سرویسهای SSH بر روی دستگاه در صورت مورد نیاز نبودن، از خود محافظت کنید.
بیشتر کابران فنی میتوانند قوانین فایروال داخلی ایجاد کنند تا از دسترسی SSH به و از نیروهای خارجی جلوگیری شود.
در همین حال به فروشندگان دستگاههای متصل به اینترنت پیشنهاد میشود:
- از تحویل دادن چنین محصولاتی به حسابهای فاقد مدرک(۴) جلوگیری کنند.
- مشتریان را مجبور کنند تا گواهیهای پیش فرض کارخانه را بعد از نصب دستگاه تغییر دهند.
- TCP forwarding را محدود کنند.
- به کاربران اجازه دهند تا تنظیمات SSH را برای جلوگیری از چنین نقایصی بهروزرسانی کنند.
از آنجا که تعداد دستگاههای IoT به بیش از دهها میلیارد رسیده است، وقت آن رسیده است تا قبل از اینکه مهاجمان یک وضعیت فاجعهآمیز به بار آورند، از این دستگاهها محافظت شود.
سازمانهای غیرانتفاعی نظیر MITRE برای محافظت از دستگاههای IoT با به چالش کشیدن محققان برای ارائه یک راهکار جدید و غیر سنتی برای تشخیص دستگاههای IoT آسیبپذیر بر روی شبکه، پا پیش گذاشتهاند. این شرکت همچنین یک جایزه نقدی ۵۰٫۰۰۰ دلاری را نیز پیشنهاد داده است.
منبع
http://thehackernews.com/2016/10/sshowdown-iot-security.html
(۱) Internet of Thing
(۲) Credential
(۳) Factory default credentials
(۴) Undocumented accounts
ثبت ديدگاه