Une faille dans OpenSSH âgée de 12 ans fragilise l’IoT

OpenBSD 5.1 © Sergej Khackimullin - Fotolia.com

Akamai a découvert que les attaques DDoS IoT utilisaient une faille dans OpenSSH existant depuis 12 ans.

L’Internet des objets est en pleine croissance et la sécurité est au cœur des préoccupations des responsables informatiques. Qui plus est, ces objets connectés sont utilisés par des cybercriminels pour mener des attaques en déni de service. OVH et le spécialiste de la sécurité Brian Krebs en ont fait l’expérience ces dernières semaines.

On apprend maintenant que ces attaques ont été rendues possibles en raison d’une faille présente depuis 12 ans dans OpenSSH. Deux chercheurs d’Akamai, Ory Segal et Ezra Caltum ont découvert cette vulnérabilité et l’ont baptisé SSHowDowN Proxy. Elle vise notamment à enrôler plusieurs objets connectés comme les caméras de surveillance (CCTV) et leurs enregistreurs numériques (DVR), les antennes satellites, les routeurs, les NAS. « Ces dispositifs sont maillés pour attaquer une multitude de sites ou de services Internet à travers http, SMTP ou via un scan réseau », constate les experts. Ils ajoutent que les attaques peuvent aussi cibler les réseaux qui hébergent les objets connectés.

L’ère de l’IoT non-corrigeable a commencé

Pour Ory Segal, directeur de recherche chez Akamai, « nous entrons dans une période très dense en matière de DDoS et d’autres offensives web que l’on qualifie  « The Internet of Unpatchable Things », l’Internet des objets incorrigeables ». Pour lui, le problème réside dès la production de l’objet. « Ils sont expédiés de l’usine avec cette faille et pire encore il n’y a aucun moyen efficace pour la réparer. Pendant des années, nous avons estimé que cet état de fait était simplement théorique, c’est devenu une réalité. »

Afin d’atténuer les menaces, Akamai conseille de modifier les paramètres par défaut des objets dès leur réception. Les deux spécialistes donnent une procédure sur les modifications à apporter.

A lire aussi :

FPGA : l’arme secrète d’OVH pour parer les attaques DDoS

DDoS : le code du botnet IoT Mirai mis en libre-service

© Sergej Khackimullin – Fotolia.com