剑客
关注科技互联网

Akamai 发现 200 万的设备长期安全缺陷

众所周知,物联网的 iswoefully 不安全的但最可耻、 最令人沮丧的部分是,一些目前被利用的安全漏洞可能已经根除年前。现在如何在袭击中使用这些 bug 的证据提请早为插入的安全漏洞。

新的研究公布本周从内容交付网络 Akamai 需要仔细看看黑客如何滥用霸占数以百万计的普通连接设备加密协议的弱点 — — 路由器、 电缆调制解调器、 卫星电视设备和 Dvr — — 然后协调他们发动袭击。分析完 IP 地址数据从其云安全智能平台,Akamai 估计超过 200 万的设备已经受到这种类型的攻击,它调用 SSHowDowN。该公司还表示,其客户至少 11 — — 行业如金融服务、 零售、 好客和游戏 — — 一直的这次攻击的目标。

被剥削的协议,称为安全外壳 (SSH),通常用于促进远程系统访问和可以有力实施。但许多物联网制造商不纳入它或在他们的设备上的默认配置设置时却看不到 SSH 的最佳做法。制造商争相将其产品推向市场,这些疏漏播种在物联网的基础上普遍感到不安全。

“这是我们已经了解了十几年,”说马丁 McKeay,安全在 Akamai 的倡导者。”这是一个漏洞,我们以前见过。它不应该发生。但我们将会看到越来越多作为一切获取 IP 地址的管理界面。这些产品必须思想和保护之前他们进入家庭。

Akamai 说它正在与设备供应商,以提高他们的 SSH 执行并且援引网络视频录像机制造商 NUUO、 卫星天线制造商 Intellian、 WiMax 路由器制造商绿色包、 热点制造商骚动和网络连接存储设备制造商 Synology 作为销售,它检测到 SSH 缺陷的一个或多个产品的公司。骚动发表安全咨询在 2013 年关于可能使用 SSH 为”未经身份验证 TCP 隧道”。Sudhakar Padala,喧闹的高级主要安全架构师,所述电子邮件到有线 Akamai 警告似乎匹配骚动已”立即纠正”在 2013 年的脆弱性。他补充说,”Akamai 没有不提醒我们注意这份新报告。我们在所有的安全漏洞非常严重。在其报告中,Akamai 列举了骚动的 2013年咨询,但补充说,”这是在我们的研究过程中发现的受影响的设备类型之一。Intellian 拒绝置评。仍有其他公司不可能达成的置评。

Akamai 研究者发现黑客已经能够建立未经授权的 SSH 连接,称为”隧道,”与物联网设备,然后将恶意通信量路由作为指挥和控制的基础结构的一部分。Akamai 观察到这种策略被用于像凭据馅,在设置试图进入客户的自动化系统的攻击者使用凭据对网站上的帐户泄露在以前的数据泄露的袭击。

举一个例子,Akamai 观察黑客使用称为”admin”授权网络视频录像机 SSH 隧道的帐户。然后他们利用这一机会来生成和发送恶意通信量从录像机。一些快速的研究揭示了出厂默认密码为此管理员帐户作为”管理员”公开上市从那里黑客们竟能访问其他服务器的通信工具,如传输控制协议,和相对较小的努力获得和直接的设备。此外,从黑客的角度来看,方法有掩蔽攻击的真正来源,因为恶意通信量来自网络和 IP 地址,被劫持的物联网设备的额外的好处。

Akamai 已经建议对于制造商来说,像在为客户更改默认管理员凭据的提示中建设、 禁用 SSH 在设备上,除非有特别需要的和建立设备的方法很容易接收配置更新。对于客户来说,该公司建议改变工厂默认用户名和密码在可能的情况下,禁用在家庭网络上的 SSH 交通和创建防火墙限制对入站和出站的 SSH 访问如果适用的话。但一个主要关注的是,与不同的是有黑客攻击你 Facebook 帐户,一般人将可能永远不会认识到,他们的物联网设备受到了以这种方式即使它发生在他们身上。”它不是大多数人其实要注意到的东西,”McKeay 说。”但它意味着您的网络要控制链的一部分。

由于更多的攻击者利用 Akamai 描述的方法的类型越来越关注物联网的不安全感。最近,中央控制的物联网设备军队发起大规模分布式的拒绝服务 (DDoS) 攻击的网站安全记者布莱恩 · 克雷布斯。创建使用恶意软件被称为未来,既然已经公开发布,其僵尸网络攻击增加未来未来攻击的危险。

在 SSH 黑客,Akamai 强调关于 SSH 漏洞没有什么是真正的新内容,这是真的,这些类型的问题都已早就预见到。例如,2003 年评价的 SSH 安全公司 SANS 研究所指出的那样,”不幸的现实是,SSH 不是一颗银子弹能够消除所有的危险。已知的 SSH 漏洞存在,可以用作对网络的攻击媒介。”但这些和类似的警告在本世纪初期间针对更传统的计算机网络。物联网设备需要具有相同的严谨保护的想法仍在发展,但是物联网僵尸网络的受害者,它正在太慢。”嵌入式的设备仍倾向于运行尚未审核的旧软件栈,要么不执行安全根本不执行它正确,或可能实施安全表示,但离开那里,默认密码巴林特赛博,在物联网的安全公司巴士底狱的脆弱性研究部主任。”客户和公司都慢慢地醒来,和这就是伟大的但它是只是这种广泛的域”。

即使它是追悔莫及,物联网设备在数百亿美元,现在数字,它是当时为了保护他们。

[剑客-翻译]

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址