fotohansel - Fotolia
Plus d’objets connectés compromis grâce à une vieille vulnérabilité OpenSSH
Les chercheurs d’Akamai ont découvert des pirates exploitant une ancienne vulnérabilité de ce service d’administration à distance pour détourner des connectés.
Le laxisme, tel qu’il est exploité par des outils comme Mirai, n’est pas la seule cause de compromission d’objets connectés. L’équipe de recherche sur les menaces d’Akamai vient de publier une alerte décrivant la manière dont des cybercriminels mettent à profit une ancienne vulnérabilité d’OpenSSH pour prendre le contrôle d’objets connectés. Ceux-ci sont alors utilisés serveurs mandataires (proxy) pour faire transiter du trafic réseau malicieux.
« Nous l’avons découvert jusqu’avant l’attaque [en déni de service distribué] ayant visé Krebs », explique Ryan Barnett, analyste sécurité chez Akamai : « bien que des objets connectés aient aussi été utilisés dans cette attaque, il s’agit d’une technologie et d’un acteur différents. Nous voulions donc marquer clairement la différence ».
L’attaque en question, baptisée SSHowDowN Proxy par Akamai, utilise différents types d’objets connectés – routeurs Wi-Fi, systèmes de stockage en réseau (NAS, dont ceux de Synology) ou encore enregistreurs vidéo numériques et caméras sans fil. Elle s’appuie pour cela sur une faille de la configuration par défaut d’OpenSSH, découverte initialement en 2004 et corrigée alors.
« Nous avons informé les constructeurs de ce qui se passait, et ils ont immédiatement demandé s’ils avaient besoin d’un CVE pour cette vulnérabilité », explique Barnett : « nous leur avons dit que non, qu’il y en a déjà un. C’est une vulnérabilité vieille de 12 ans ».
Et selon Akamai, elle a été utilisée pour « mener des attaques contre tout type de cible sur Internet, et n’importe quel service, http, smtp, ou encore pour de l’analyse réseau ». Et d’ajouter qu’elle pourrait être exploitée pour viser les réseaux abritant les appareils concernés. Mais puisque SSHowDowN peut être utilisé pour cacher du trafic malicieux, en transformant les appareils compromis en proxy Socks, cette vulnérabilité complique la détection et le blocage de ce trafic : « cela rend plus difficile, par exemple, de bloquer une adresse IP, car ces attaques permettent de cacher du trafic malicieux au milieu du trafic normal, légitime, de l’appareil ».
Barnett souligne en outre que de nouveaux appareils sont livrés avec cette vulnérabilité OpenSSH, et la majorité d’entre eux ne donnent pas de moyens aux utilisateurs de la corriger eux-mêmes. Akamai indique dès lors « travailler avec les principaux constructeurs à un plan de remédiation ». Et de suggérer tout de même quelques mesures : changer les identifiants par défaut des appareils connectés ; désactiver les services SSH lorsqu’ils ne sont pas nécessaires ; et établir des règles de pare-feu interdisant les connexions SSH sur leurs objets connectés.
Avec nos confrères de SearchSecurity.com.