Centro Assistenza ACSIA

Ricerca

Cos'è un “reverse SSH attack”?

Federico Trotta
Federico Trotta
  • Aggiornato

Panoramica

Questo articolo spiega l'alert ACSIA chiamato "reverse SSH attack".

Spiegazione del reverse SSH attack

Un "reverse SSH attack" è una tecnica in cui un utente malintenzionato stabilisce una connessione dal computer della vittima al sistema dell'attaccante, utilizzando il protocollo SSH (Secure Shell). Questo approccio è opposto al solito modo di utilizzare SSH, in cui un utente si connette dal proprio computer a un server remoto.

Esempio di "reverse SSH attack":

Consideriamo un'azienda con una rete interna sicura. Ogni dipendente dispone di un computer connesso alla rete aziendale e il team IT ha impostato rigide regole firewall per impedire l'accesso non autorizzato.

Un utente malintenzionato al di fuori della rete dell'azienda vuole ottenere l'accesso non autorizzato ai sistemi interni dell'azienda e ai dati sensibili. Tuttavia, a causa del firewall e delle misure di sicurezza messe in atto dall'azienda, gli attacchi diretti contro i computer sono impegnativi.

Per aggirare il firewall e stabilire un punto d'appoggio all'interno della rete aziendale, l'aggressore decide di utilizzare un "reverse SSH attack".

L'attaccante prima compromette un server Web pubblico che appartiene all'azienda, sfruttando una vulnerabilità nel software del server per ottenere l'accesso non autorizzato e il controllo su di esso.

Una volta all'interno del server Web, l'attaccante installa un programma dannoso che "ascolta" le connessioni in entrata utilizzando il protocollo SSH. Questo programma imposta un tunnel SSH inverso, creando un percorso per la comunicazione tra il server Web compromesso e il sistema dell'aggressore.

Successivamente, l'attaccante imposta il proprio sistema in modo che attenda la connessione SSH inversa dal server Web compromesso. Una volta stabilita la connessione, l'aggressore dispone di un canale diretto verso la rete interna dell'azienda, poiché la connessione viene avviata dall'interno della rete, aggirando il firewall.

Con questa connessione SSH inversa, l'aggressore può spostarsi all'interno della rete aziendale, accedendo ad altri dispositivi e dati sensibili. Può, in particolare, esplorare la rete, aumentare i privilegi e potenzialmente causare danni significativi.

La tecnica "reverse SSH attack" ha consentito, così, all'aggressore di aggirare le difese perimetrali dell'azienda e ottenere l'accesso non autorizzato alla rete interna.

ACSIA ti avvisa quando viene eseguito un attacco SSH inverso sulla tua infrastruttura.