Se ha confirmado el incremento de ataques que se hacen con el control de dispositivos del Internet de las Cosas (IoT) para generar tráfico de forma remota usando la vulnerabilidad de OpenSSH, denominada SSHowDowN Proxy.

Esta vulnerabilidad, de doce años de antigüedad, es una debilidad continuada presente en muchas configuraciones predeterminadas de dispositivos conectados a Internet. Por tanto, no se trata de una técnica de ataque nueva, lo que ocurre es que estos dispositivos ahora se explotan de forma activa en campañas de ataque masivas.

Los equipos más afectados por la vulnerabilidad de OpenSSH son los de videovigilancia (circuitos cerrados de televisión, grabadoras de vídeo en red y de vídeo digital…), las antenas de satélites, las soluciones de red (routers, puntos de acceso, WiMax, módems…) o los equipos NAS conectados a Internet, entre otros. Estos dispositivos han sido utilizados para realizar ataques masivos contra multitud de objetivos y servicios orientados a Internet, como HTTP, SMTP y escaneos de red así como para diseñar ataques contra las redes internas que los alojan.

A pesar de conocer su existencia, todavía se fabrican dispositivos con esta vulnerabilidad y sin ofrecer soluciones efectivas. Para tratar de mitigar el daño, si el dispositivo permite modificar las contraseñas o claves de SSH, es recomendable cambiar los valores predeterminados establecidos por el proveedor. De igual forma, si es posible el acceso directo a los sistemas de archivos, habría que agregar “AllowTcpForwarding No” al fichero global sshd_config, y “no-port-forwarding” y “no-X11-forwarding” al archivo de claves ~/ssh/authorized_ de todos los usuarios. Si ninguna de estas dos opciones está disponible o bien el acceso a SSH no es obligatorio para el funcionamiento del sistema, la recomendación es desactivar SSH a través de la consola de administración del dispositivo.