12年前的SSH漏洞还能用?物联网设备的安全令人堪忧
概述 根据国外媒体的最新报道,Akamai公司的安全研究专家在这周发现了一种新型的攻击方式。根据安全专家的描述,攻击者可以使用一个存在了十二年之久的SSH漏洞,并配合一些安全性较弱的证书来攻击物联网设备和智能家居设备。在获取到这些联网设备的控制权之后,攻击者就可以将它们作为代理并窃取第三方Web应用的凭证了。 由此看来,对于网络攻击者而言,联网设备的作用已经不仅仅局限于用来发动分布式拒绝服务攻击(DDoS)了。 攻击分析 这种被称为“Credential Stuffing”(凭证填充)的攻击方式在自动化程度上与暴力破解攻击十分相似,因为这种攻击同样会不断地去验证被盗密码的有效性。 Akamai公司表示,他们的客户从今年的二月份就开始不断地向他们报告异常的网络活动了,而该公司的安全研究人员也意识到他们的客户很可能遭到了网络攻击。该公司估计,目前至少有两百万的物联网设备和网络设备已经被攻击了,而且攻击者正在利用这些设备作为代理来进行“Credential-Stuffing”攻击。据了解,攻击者利用的是SSH配置中的一个漏洞,但是据说这个漏洞(CVE-2004-1653)早在2004年的时候...
