SSHowDowN : ne faites pas partie d’une attaque DDoS sans le savoir !

Nous avons déjà écrit au sujet de BWAIN auparavant.

Un BWAIN est un Bug Avec un Nom Impressionnant (Bug With Impressive Name), qui a reçu un traitement marketing spécial dans le but de réveiller les bonnes personnes, et de voir enfin quelque chose se passer.

Le BWAIN le plus malin en matière de communication a même son propre logo, tel que Heartbleed, HTTPoxy, Sweet32, Shellshock et ImageTragick.

Voici le petit dernier : SSHowDowN

En matière de BWAIN, SSHowDowN n’est pas un nom des plus attractifs, mais il mérite tout de même le détour, surtout si vous êtes un vendeur d’objets connectés qui s’installent automatiquement, de manière à être gérés à distance via internet.

Le nom SSHowDowN vient d’Akamai, un acteur majeur dans l’univers du “Content Delivery”, et il a reçu l’attention particulière d’Akamai, lorsque la firme a commencé a recherché les récentes hausses au niveau du temps perdu dans le trafic, qui est désigné sous le nom de DDoSes, un raccourci pour Distributed Denial of Service.

Si vous voulez chasser quelqu’un en dehors du net, ou du moins paralyser en quelque sorte leur visibilité sur internet, sans avoir à pirater leurs serveurs à proprement parlé, et ainsi rentrer en force délibérément, générer beaucoup, beaucoup de trafic inutile est une manière efficace de le faire.

Cependant, en les inondant avec un trafic réseau important, à partir de quelques endroits à très fortes bandes passantes, tels que des serveurs piratés sur un réseau académique moderne multi-gigabit, n’est plus suffisant de nos jours.

100 serveurs qui émettent chacun un gigabit par seconde est assez facile à identifier et à bloquer, et à chaque fois que le trafic provenant de l’un d’entre eux est bloqué, vous diminuer l’intensité de l’attaque d’1%.

En réalité, ce que vous recherchez ce sont des milliers, voire même des centaines de milliers de réseaux modestes et correctement connectés, qui ne suivent pas de schéma particulier, et qui sont hébergés par des centaines de milliers d’ISP (Internet Service Provider) différents, dans des dizaines voire des centaines de pays différents.

En effet, nous avons récemment écrit au sujet des cas d’attaques DDoS impliquant le journaliste d’investigation Brian Krebs, et dans lesquels plus de 600 gigabits par seconde de données en apparence officielles mais sans aucune utilité, étaient générées à partir de dizaines de milliers de serveurs domestiques, grâce à des objets connectés non sécurisés, tels que des caméras, routeurs et même des imprimantes.

L’attaque dont Krebs était la cible était apparemment pilotée par un logiciel malveillant appelé Mirai, et qui a délibérément été copié sur tous ces équipements connectés.

Pas d’infection nécessaire

Par contre, l’histoire concernant SSHowDowN d’Akamai, ne se base pas sur des serveurs infectés : il a juste besoin de serveurs mal configurés.

Le nom SSHowDowN vient de SSH, un raccourci pour désigner Secure Shell, un outil bien connu qui est utilisé de manière très répandue à travers internet pour l’accès à distance sécurisé.

Cependant, malgré le fait que le protocole SSH soit sensé améliorer la sécurité, Akamai a rapporté que les serveurs SSH au niveau d’une grande quantité de routeurs SoHo (se chiffrant en millions apparemment) étaient à l’origine d’un trafic DDoS massif sur le réseau Akamai…

…et de plus les cybercriminels n’avaient même pas besoin de se connecter aux routeurs SSHowDowNable.

Dit plus simplement, les hackers ont trouvé comment prendre du trafic à partir d’une source précise (qui peut être par exemple plusieurs serveurs à forte bande passant sur un réseau piraté), le partager en une multitude de flux séparés, et envoyer chacun de ces trafics sur un routeur différent, apparemment inoffensif et relié à un réseau de petite taille.

Vous pouvez penser, en termes d’équivalence, au blanchiment d’argent à une grande échelle.

En diffusant votre attaque parmi des milliers ou des millions de réseaux inoffensifs et ordinaires à travers le monde, vous compliquez la tâche des réseaux de “Content Delivery” tels qu’Akamai, qui souhaite bloquer le trafic malveillant de manière propre et efficace, car au final il est complètement mélangé avec des paquets valables.

Voilà pourquoi ces attaques s’appellent “distributed denial of service”.

Verrouillage problématique

Le problème du SSHowDowN semble être causé par des objets connectés qui autorisent des connections SSH, mais ne se verrouillent pas correctement.

Selon Akamai, beaucoup de systèmes d’objets connectés ont un accès à distance via un protocole SSH actif par défaut, mais ils ont aussi des “comptes internes” par default avec des paires username/mot-de-passe connues.

Afin de stopper les abus sur internet, au niveau de ces comptes par défaut, certains fournisseurs ont tout simplement configuré le produit de manière à vous faire automatiquement sortir du système en cas de tentatives de connexion avec un mot de passe connu par défaut.

Malheureusement, le protocole SSH ne concerne pas seulement les connexions “secure shell”, mais englobe tout ce qui se rapporte à “Secure Shell”.

Ainsi, le protocole SSH peut aussi faire ce que l’on appelle de la “redirection de trafic”, par exemple en agissant en tant que web proxy qui accepte du trafic en provenance d’un navigateur X, et qui de manière transparente le redirige vers Y.

Si executé correctement, ce type de proxying peut très nettement améliorer la sécurité, car le trafic de X vers le proxy, et depuis le proxy vers de nouveau X, est très fortement chiffré, de telle sorte que le protocole SSH agit alors comme un VPN classique (Virtual Private Network).

Cependant, si vous pouvez utiliser de manière non autorisée les proxys, au niveau de l’équipement d’autres personnes, vous pouvez effectivement les récupérer en tant partenaires de cybercrime, et sans qu’ils en soient même conscients.

Malheureusement encore, comme l’a mentionné Akamai, laisser les cybercriminels s’authentifier en premier lieu, et ensuite leur faire confiance officiellement, tout en se connectant immédiatement après, afin de pouvoir détecter si ce qu’ils sont en train de faire est malveillant, n’est tout simplement pas la bonne stratégie sécurité.

Cela reviendrait à laisser quelqu’un entrer dans l’enceinte de votre propriété, mais pas dans votre maison, en considérant que vous en avez assez fait en leur permettant d’utiliser votre jardin à des fins criminelles.

Et c’est exactement ce que les cybercriminels peuvent faire avec un serveur SSH mal protégé : il existe une documentation claire sur la manière de s’authentifier, démarrer un serveur proxy pour la redirection de trafic, et ensuite délibérément supprimer la partie connexion.

En d’autres termes, vous utilisez le mot de passe bidon pour duper le routeur non sécurisé, et vous permettre de dérober son identité et sa bande passante en tant que proxy, mais évitez la partie connexion qui est nécessaire pour que le routeur puisse vous éjecter du système.

Les détails nécessaires concernant le protocole SSH, si vous voulez en apprendre davantage au sujet du SSHowDowN sont comme suit. La commande ssh établi la connexion, effectue l’authentification et immédiatement vous connecte. La commande ssh -D établi la connexion, effectue l’authentification, démarre un proxy de redirection, et ensuite vous connecte. La commande ssh -D -N établi la connexion, effectue l’authentification, démarre un proxy de redirection … et ensuite s’arrête là sans finir par la connexion. Il ne s’agit pas d’un bug, le protocole est prévu comme cela. C’est dans la phase d’authentification que vous êtes supposés vérifier que l’utilisateur est autorisé à utiliser vos ressources, qu’il s’agisse d’une connexion à un shell à distance, du démarrage d’un proxy, ou de n’importe quoi d’autre. Les mots de passe par défaut sabotent tout le processus d’authentification. Dans le cas où vous ne l’auriez pas remarqué, cela m’a pris un petit moment mais les majuscules dans le mot SSHowDowN font allusion à ssh -D -N, où -D signifie “redirection proxy” et -N signifie “pas de connexion”.

Quoi faire ?

Akamai présente plusieurs circonstances atténuantes dans son article, ainsi vous pouvez consulter les détails par vous-même.

Tout ce que nous voulons vous dire ici, et parce qu’il s’agit du Cybersecurity Awareness Month, nous allons vous le dire TRES TRES FORT …

N’UTILISEZ PS DE MOTS DE PASSE PAR DÉFAUT DANS VOTRE PRODUIT !

Si vous n’avez pas l’intention de laisser un voleur rentrer chez vous, alors ne lui donnez pas un accès à votre jardin pour commencer !

Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez SSHowDowN : ne faites pas partie d’une attaque DDoS sans le savoir ! : http://wp.me/p2YJS1-30K
Billet inspiré de Is your router taking part in DDoS attacks right under your nose?, par Paul Ducklin, Sophos NakedSecurity.