Black Hat Asia 2023

Akamai เตือน อุปกรณ์ IoT เสี่ยงตกเป็นเครื่องมือของ SSHowDowN Proxy Attacks

akamai_logo

โลกไซเบอร์กำลังก้าวเข้าสู่ยุค Internet of ‘Unpatchable’ Things อย่างไม่เต็มใจ ทั้งองค์กร ทั้ง Vendor อุปกรณ์ IoT ควรใส่ใจด้านความมั่นคงปลอดภัยมากขึ้น

Akamai ผู้ให้บริการเครือข่าย CDN ที่ใหญ่ที่สุดในโลก ออกมาเปิดเผยถึงเทคนิคการโจมตีที่ใช้ประโยชน์จากช่องโหว่บนอุปกรณ์ Internet of Things เพื่อเข้าควบคุมและใช้เป็นตัวกลางในการโจมตีเป้าหมายจากระยะไกล ซึ่งกำลังเป็นแนวโน้มยอดนิยมของการโจมตีไซเบอร์ในปัจจุบัน โดยการโจมตีดังกล่าวถูกเรียกว่า SSHowDowN Proxy Attack

Credit: Maksim Kabakou/ShutterStock
Credit: Maksim Kabakou/ShutterStock

การโจมตีนี้ไม่ใช่เทคนิคใหม่แต่อย่างใด แต่เป็นการอาศัยช่องโหว่หรือจุดอ่อนบนการตั้งค่าแบบดั้งเดิมจากโรงงานของอุปกรณ์ IoT ซึ่งช่วยให้แฮ็คเกอร์สามารถสร้างกองทัพซอมบี้ปริมาณมหาศาลเอาไว้ใช้โจมตีเป้าหมาย เช่น DDoS Attack ได้ตามต้องการ โดยการโจมตีแบบ SSHowDowN Proxy อาศัยช่องโหว่บน OpenSSH ที่มีอายุยาวนานถึง 12 ปี

Akamai ระบุว่า ได้ทำการสังเกตทราฟฟิคที่เกิดจากการโจมตีแบบ SSHowDowN Proxy พบว่ามาจากอุปกรณ์ที่เชื่อมต่อกับอินเทอร์เน็ตเหล่านี้

  • CCTV, NVR และ DVR (วิดีโอสำหรับเฝ้าระวัง)
  • Satellite Antenna Equipment
  • อุปกรณ์ Networking เช่น Router, Hotspot, WiMax, Cable และ ADSL Modem
  • อุปกรณ์ NAS ที่เชื่อมต่อกับอินเทอร์เน็ต
  • อุปกรณ์ Internet of Things อื่นๆ

เมื่อแฮ็คเกอร์สามารถเจาะผ่านช่องโหว่เข้าไปควบคุมอุปกรณ์นี้ได้แล้ว แฮ็คเกอร์สามารถทำการโจมตีอุปกรณ์หรือบริการอื่นๆ ที่เชื่อมต่อกับอินเทอร์เน็ตได้ทันที เช่น HTTP, SMTP และ Network Scanning หรือสามารถโจมตีระบบเครือข่ายภายในที่อุปกรณ์ IoT เหล่านั้นเชื่อมต่ออยู่ก็ได้เช่นกัน

“เรากำลังเข้าสู่ช่วงเวลาที่น่าสนใจเป็นอย่างยิ่ง หรืออาจกล่าวได้ว่าเป็นยุค ‘Internet of Unpatchable Things’ อุปกรณ์ใหม่ๆ ที่ถูกผลิตออกมาจากโรงงานไม่เพียงแค่มีช่องโหว่พร้อมให้แฮ็คเท่านั้น ยังหาวิธีที่จะจัดการกับช่องโหว่เหล่านั้นได้ยาก พวกเราทราบกันมาหลายปีแล้วว่า ในเชิงทฤษฎี เราสามารถนำอุปกรณ์ IoT มาโจมตีใส่กันได้ ก็คงต้องบอกว่าทฤษฎีดังกล่าวเป็นจริงแล้ว” — Eric Kobrin ผู้อำนวยการด้านความมั่นคงปลอดภัยของข้อมูลจาก Akamai กล่าว

วิธีรับมือกับ SSHowDowN Proxy Attacks

  • ไม่ใช้รหัสผ่านและกุญแจสำหรับเข้ารหัส SSH ดั้งเดิมที่มาจากโรงงาน ทำการตั้งค่าใหม่ให้มีความแข็งแกร่ง อย่างไรก็ตาม วิธีการนี้อาจไม่สามารถทำได้กับอุปกรณ์ IoT โดยส่วนใหญ่
  • ตั้งค่า SSH ของอุปกรณ์โดยไปที่ ~/ssh/authorized_ keys จากนั้นเพิ่ม “AllowTcpForwarding No”, “no-port-forwarding” และ “no-X11-forwarding”
  • ยกเลิกการใช้ SSH ผ่านทาง Administrator Console

ในกรณีที่อุปกรณ์อยู่หลัง Firewall สามารถเพิ่มความมั่นคงปลอดภัยได้ดังนี้

  • ปฏิเสธการเชื่อมต่อแบบ Inbound จากเครือข่ายภายนอกที่วิ่งผ่าน Port 22 ไปยังอุปกรณ์ IoT
  • ปฏิเสธการเชื่อมต่อแบบ Outbound จากอุปกรณ์ IoT ทั้งหมด ยกเว้น IP และ Port ที่จำเป็นต้องใช้ในการปฏิบัติการจริงๆ

ที่มา: https://www.helpnetsecurity.com/2016/10/13/sshowdown-proxy-attacks/


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Video] NCSA Webinar Series EP.8 – WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร

สำหรับผู้ที่ไม่ได้เข้าฟังการบรรยาย NCSA Webinar Series EP.8 เรื่อง “WAAP ช่วยยกระดับ Security Posture ขององค์กรได้อย่างไร” ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่านมา หรือต้องการรับชมการบรรยายซ้ำอีกครั้ง สามารถเข้าชมวิดีโอบันทึกย้อนหลังได้ที่บทความนี้ครับ

CDNetworks ประกาศการสนับสนุนแพลตฟอร์มเต็มรูปแบบสำหรับ QUIC และ HTTP/3 ทำให้การสตรีมสดราบรื่นและเข้าถึงได้มากกว่าที่เคย

ด้วยเวลาตอบสนองที่เร็วขึ้นและการเข้าถึงที่มากขึ้นเพื่อเพิ่มช่วงและการรับสัญญาณสูงสุดในสภาพพื้นที่ที่มีแนวโน้มที่มีสภาพเครือข่ายที่ไม่เอื้ออำนวย การเชื่อมต่ออินเทอร์เน็ตรูปแบบ Quick UDP (QUIC) จึงพร้อมที่จะยกระดับความสามารถในการสตรีมสดของ CDNetworks ไปสู่อีกระดับ