Deze website maakt gebruik van cookies. Voor meer informatie over de cookies waarvan deze website gebruik maakt klik hier.
Door verder op deze website te surfen geeft u de toestemming aan Minoc Data Services om cookies te gebruiken. verder gaan
 
security

IoT-toestellen gehackt via twaalf jaar oude bug in OpenSSH

Nina van Hoof

 
Een kwetsbaarheid die al meer dan een decennium aanwezig is in OpenSSH zorgt ervoor dat hackers vandaag slimme toestellen kunnen inzetten voor cyberaanvallen.

 

Een twaalf jaar oude bug in OpenSSH maakt het voor hackers mogelijk om internet of things-apparaten over te nemen en als slaven in te zetten in botnets. Die ontdekking werd wereldkundig gemaakt door service provider Akamai, die de exploit de naam “SSHowDowN Proxy attack” heeft gegeven. Via de botnets kunnen hackers DDoS-aanvallen uitvoeren om websites en online services uit te schakelen.

OpenSSH is een protocol dat ervoor zorgt dat netwerkcommunicatie veilig en versleuteld kan verlopen. De misbruikte kwetsbaarheid, CVE-2004-1653, heeft betrekking op de standaard OpenSSH configuraties die TCP forwading en vervolgens port bounces mogelijk maken wanneer er een proxy wordt gebruikt, een indirecte manier om toegang te krijgen tot netwerkpoorten. Akamai stelt dat het dergelijke proxy-aanvallen heeft geobserveerd die gebruik maakten van gerekruteerde bewakingscamera’s, netwerktoestellen als routers en modems, en NAS’en. Het sluit niet uit dat andere types van toestellen ook kwetsbaar zijn.

Internet of unpatchable things

De service provider grijpt het rapport aan om de onveilige staat van het internet of things aan te klagen. Als we niet uitkijken, komen we binnenkort in het tijdperk van het “internet of unpatchable things” terecht, zo waarschuwt Eric Kobrin, directeur Information Security bij Akamai.

 

Een van de grote struikelblokken is dat een slim apparaat alleen maar uit een botnet kan gehaald worden wanneer de fabrikant een patch lanceert, de eigenaar van het toestel kan zelf niets doen. Sommige toestellen zijn zelfs helemaal niet te herstellen. “We horen al jaren dat het theoretisch mogelijk is voor IoT-toestellen om aan te vallen,” zegt Kobrin. “Dit is spijtig genoeg nu de realiteit geworden.”

 

Reacties

comments powered by Disqus
 

RECENT NIEUWS