Злоумышленники могут, используя уязвимость в OpenSSH, применять IoT-устройства в качестве прокси в ходе передачи вредоносного трафика.
Уязвимость была выявлена в 2004 году, а в начале 2005 года разработчики исправили ее. Ошибкой была затронута базовая конфигурация в OpenSSH. Передача данных по TCP была активирована в заводских настройках старых версий клиентов OpenSSH, что давало удаленным аутентифицированным пользователям возможность производить проброс портов.
Проблему не считали серьезной, так как для ее использования хакер должен иметь доступ к устройству по SSH. Однако, если злоумышленник, используя метод полного перебора, заполучил доступ к системе, то у него есть возможность применить устройство в качестве прокси.
Данная опция уже давно отсутствует в OpenSSH, но само программное обеспечение применяется во множестве IoT-устройств. Так как функционал их аппаратного обеспечения ограничен, ботнеты из IoT-устройств применяются лишь для передачи трафика, проведения DDoS- и брутфорс-атак.
В отчете Akamai от 12 октября указано, что экспертами был зафиксирован большой объем вредоносного трафика, исходящего от IoT-устройств. Киберпреступники проводят брутфорс-атаки на IoT-устройства, вносят изменения в настройки конфигурации SSH, посредством активации опции AllowTcpForwarding, а после пользуются этими гаджетами как прокси для передачи трафика. В результате хакеры скрывают истинный источник любого кибернападения.