SSHowDown Proxy: La configuración débil de OpenSSH que actualmente afecta a dispositivos IoT

Share this…

Un grupo de investigadores de seguridad de Akamai, han descubierto que una vieja vulnerabilidad en OpenSSH está siendo explotada en los dispositivos IoT (Internet of Things) por ciberdelincuentes. Esta vulnerabilidad es realmente un fallo en la configuración de OpenSSH, y la han bautizado como SSHowDown Proxy, ya que por defecto está habilitado el TCP Forwarding y los dispositivos IoT se utilizan como un Proxy para atacar otros equipos.

Este fallo en la configuración predeterminada se detectó y solucionó hace 12 años, por lo que si instalamos OpenSSH en cualquier sistema operativo tendremos la directiva AllowTCPForwarding en “no”. Sin embargo, algunos fabricantes aún proporcionan versiones con configuraciones no seguras, además de tener credenciales por defecto que permitirían comprometer este tipo de dispositivos.

Los investigadores de Akamai han descubierto que los ciberdelincuentes ya están atacando diferentes tipos de dispositivos IoT como por ejemplo CCTV, NVR, DVR, routers, cable módems, dispositivos NAS y otros muchos dispositivos que incorporan una configuración de OpenSSH muy débil y propensa a ataques.

Estos dispositivos comprometidos están siendo utilizados para atacar multitud de objetivos en Internet, además también están realizando miles de peticiones HTTP, SMTP y escaneando redes. Lo más preocupante es que los ciberdelincuentes pueden acceder a la red local donde está el dispositivo IoT, ya que la configuración de SSH que tienen esos equipos es la de TCP Forwarding habilitado, lo que es un verdadero riesgo para la seguridad de nuestro hogar y de la empresa.

Akamai ha estimado en más de 2 millones los dispositivos que tienen una configuración débil, y que pueden ser comprometidos fácilmente.

Recomendaciones a los usuarios para mitigar los ataques

La principal recomendación de estos investigadores es cambiar los credenciales por defecto del dispositivo. Si el firmware no nos permite cambiar el usuario, al menos es necesario cambiar la contraseña de administración. A menos que sea fundamental para usar los dispositivos IoT, es recomendable deshabilitar el servidor SSH del dispositivo. Si vamos a acceder vía SSH a través de la red local, es recomendable configurar nuestro firewall para que no se tenga acceso a dicho servidor SSH desde la WAN de Internet.

En el caso de que necesitemos utilizar SSH desde Internet, es recomendable que la directiva “AllowTCPForwarding” esté en “no” para evitar SSH Tunneling y que puedan comprometer la intranet de la empresa, o impedir el acceso a la red local. Esto se configura en el archivo “sshd_config” y hay que poner lo siguiente:

1 AllowTCPForwarding no

Recomendaciones a los fabricantes para solucionar de raíz el problema

Estos investigadores también han dado una serie de recomendaciones a los fabricantes de estos dispositivos IoT, con el fin de que atajen el problema de raíz:

  • Evitar vender dispositivos IoT con cuentas de usuario que no estén documentadas.
  • Deshabilitar por defecto SSH, a menos que sea totalmente necesario para el correcto funcionamiento.
  • Forzar a los usuarios a cambiar la contraseña predeterminada.
  • Configurar el SSH con el TCP Forwarding deshabilitado de manera predeterminada.
  • Proporcionar a los usuarios firmwares con OpenSSH actualizado y con una buena configuración de seguridad.

Fuente:https://www.redeszone.net