SSHowDowN: Zwölf Jahre alter OpenSSH-Bug gefährdet unzählige IoT-Geräte
Akamai warnt davor, dass Kriminelle unvermindert Millionen IoT-Geräte für DDoS-Attacken missbrauchen. Die dafür ausgenutzte Schwachstelle ist älter als ein Jahrzehnt. Viele Geräte sollen sich nicht patchen lassen.
Der Anti-DDoS-Anbieter Akamai ist eigenen Angaben zufolge auf Millionen von IoT-Geräten gestoßen, die Angreifer aufgrund eines zwölf Jahre alten OpenSSH-Bug (CVE-2004-1653) ausnutzen können. Versklavt in einem riesigen Botnetz sollen Kriminelle die Geräte für groß angelegte DDoS-Attacken missbrauchen.
Da bei Geräten mit veralteten OpenSSH-Versionen die TCP-Weiterleitung standardmäßig aktiviert ist, können Angreifer aus der Ferne übernommene Geräte vergleichsweise einfach als Proxy für ihre Daten-Flut missbrauchen. Zugang sollen sich Angreifer über das Admin-Panel verschaffen. Die dafür notwendigen Log-in-Daten sind im Werkszustand oft schnell erraten: In ihrem Test konnte Akamai eigenen Angaben zufolge mit dem Benutzernamen "admin" und dem Passwort "admin" auf ein Gerät zugreifen. Weitere Einzelheiten des Angriffsszenarios führen die Sicherheitsforscher in ihrem Bericht aus.
"Internet of unpatchable Things"
Als Beispiele für gefährdete IoT-Geräte zählt Akamai unter anderem Netzwerkspeicher, Router und Videoüberwachungs-Geräte auf, die auch heute noch mit der gefährdeten OpenSSH-Version auf den Markt kommen. Das Problem dabei ist, dass sich viele Geräte nicht aktualisieren und somit absichern lassen, erläutert Akamai und spricht vom "Internet of unpatchable things".
Um sich abzusichern, sollte man die Zugangsdaten für die SSH-Funktion ändern oder diese gleich deaktivieren. Bei vielen Geräten lässt sich jedoch beides nicht einstellen. Alternativ kann man für das entsprechende Gerät über eine Firewall eingehende Verbindung zum Port 22 blockieren. Auch eine Port-Einschränkung für ausgehende Verbindungen ist hilfreich. Das Grundproblem löst man damit freilich nicht. An dieser Stelle stehen die Hersteller in ihrer Pflicht.
Aktuell hat der Branchenverband Cloud Security Alliance (CSA) umfassende Richtlinien für die Entwicklung sicherer Geräte für das Internet der Dinge veröffentlicht.
Historie jüngster DDoS-Attacken
Im September dieses Jahres brach die Internetseite des Security-Journalisten Brian Krebs unter massiven von IoT-Geräten ausgehenden DDoS-Attacken zusammen. Kurz darauf berichtete der französische Hoster OVH von einem Rekord-DDoS-Angriff mit 1,1 Terabit pro Sekunde. Die Attacke soll vom gleichen Botnetz ausgegangen sein. Im Oktober tauchte dann der Code des mächtigen DDoS-Tools Mirai in der Hacker-Gemeinschaft Hacker Forums auf.
[UPDATE, 14.10.2016 16:00 Uhr]
Wie sich Angreifer an Geräten anmelden im Fließtext ergänzt. (des)