Un pioniere nella sicurezza nativa del cloud ha fatto luce su una minaccia di lunga data ma poco conosciuta ai server SSH. Il tunneling SSH consente agli autori delle minacce di utilizzare i server SSH come proxy slave e instradare il traffico attraverso di essi.
Diversi mesi di ricerca da parte del team di ricerca Nautilus di Aqua hanno rivelato che i criminali informatici hanno trovato un modo per utilizzare il tunneling SSH per creare pool di proxy. L'obiettivo dei criminali informatici era soprattutto quello di diffondere SPAM, ma sono state trovate anche prove di furto di informazioni o di cryptomining. Durante l'indagine il Team Nautilus ha riscontrato numerosi indizi secondo cui server SSH compromessi venivano offerti nel Dark Web come parte di pacchetti di proxy pool. Per compromettere i server SSH, i criminali informatici utilizzano, tra le altre cose, attacchi di forza bruta. Tuttavia, durante l’osservazione dei suoi honeypot SSH, il gruppo di ricerca Nautilus ha osservato anche campagne che effettuavano spostamenti laterali verso le connessioni SSH.
Come funziona il tunneling SSH
Il tunneling SSH è un metodo comunemente utilizzato che crea connessioni di rete sicure e crittografate tra due server. Ciò consente il trasferimento dei dati su una rete non affidabile. Lo scopo principale è creare un canale di comunicazione sicuro tra un host locale e uno remoto, che può quindi essere utilizzato per eseguire il tunneling di vari protocolli e servizi di rete.
I criminali informatici hanno obiettivi diversi quando prendono il controllo dei server SSH. Un utilizzo per i criminali è la distribuzione di SPAM, solitamente attraverso lo sfruttamento di applicazioni web, il furto di account o malware. A quanto pare i criminali informatici hanno ora trovato il modo di compromettere i server SSH ed eseguire le loro campagne SPAM utilizzando il tunneling SSH attraverso i server SSH compromessi delle loro ignare vittime. Inoltre i criminali prendono di mira le informazioni presenti sui server. Sono state osservate richieste di ricerca di domini che tentavano di recuperare dati “Whois”, nonché richieste di geolocalizzazione alla ricerca di informazioni sugli indirizzi IP. Abbiamo notato anche richieste API dirette a vari servizi, inclusa l'API Steam. Steam è un sito di giochi e sembra che queste richieste mirino a raccogliere informazioni su diversi utenti. Sono state osservate anche attività di cryptomining e script kiddie.
Minaccia di tunneling SSH
Gli aggressori possono ottenere il controllo completo di un server tramite l'accesso SSH compromesso. Ciò può portare a impatti significativi. Ad esempio, un server SSH compromesso può danneggiare la reputazione di un indirizzo IP, il che può portare al divieto degli indirizzi IP che interrompono la posta elettronica, i dati o altro traffico in uscita. La reputazione di un'azienda può essere compromessa anche a causa della sua associazione ad attività fraudolente o dannose. Pertanto, questo tipo di attacco può avere un impatto negativo sulle aziende anche senza una violazione dei dati.
Come sempre, i comportamenti dannosi dovrebbero essere identificati il prima possibile. Poiché il tunneling SSH prende di mira i server SSH che fanno parte dell'infrastruttura nativa del cloud di un'azienda, la difesa è efficace quanto la sicurezza dell'ambiente nativo del cloud. È possibile utilizzare una piattaforma di protezione delle applicazioni cloud native (CNAPP) per rilevare configurazioni errate nei server SSH e comportamenti dannosi.
Misure protettive
Queste sono raccomandazioni aggiuntive per garantire la sicurezza degli ambienti interessati:
- Impedire Essi accesso SSH non necessario.
- uso Strumenti di monitoraggio della rete per bloccare o limitare il traffico in entrata e in uscita.
- uso password complesse e univoche o autenticazione basata su chiave per l'accesso SSH.
- Strumento un'autenticazione a più fattori (MFA) per aumentare la sicurezza SSH.
- Tenere sotto controllo Registra SSH per attività insolite o tentativi di accesso multipli non riusciti.
- Aggiorna e patch Utilizzare regolarmente il software SSH per eliminare le vulnerabilità note.
- Prendere in considerazione l'uso dell'autenticazione basata su certificato SSH per aumentare la sicurezza.
- Puoi dBlocca facilmente il tunneling delle porte modificando: "AllowTCPForwarding no".
A proposito di Aqua Security Aqua Security è il più grande fornitore di sicurezza cloud native puro. Aqua offre ai suoi clienti la libertà di innovare e accelerare la loro trasformazione digitale. Aqua Platform fornisce prevenzione, rilevamento e automazione della risposta lungo tutto il ciclo di vita dell'applicazione per proteggere la supply chain, l'infrastruttura cloud e i carichi di lavoro continui, indipendentemente da dove vengono implementati.