Dziura w OpenSSH pozwala na atak brute force. Radzimy, jak się zabezpieczyć Strona główna Aktualności22.07.2015 18:56 Udostępnij: O autorze Łukasz Tkacz Badacz posługujący się pseudonimem Kingscope poinformował o odkryciu poważnej luki w zestawie OpenSSH stosowanym m.in. do zapewnienia bezpiecznej komunikacji między komputerami. Dzięki jej istnieniu możliwe jest wykonanie ataku typu brute force w celu odgadnięcie hasła i zalogowania się do serwera. Podatne są zarówno najnowsze, jak i starsze wersje OpenSSH. Odkrywca podatności przestawił na swoim blogu działający exploit dla OpenSSH. Luka jest poważna, umożliwia bowiem ominięcie limitu liczby niepoprawnych logowań, jaką określa się opcją MaxAuthTries w pliku konfiguracyjnym sshd_config. Domyślnie wartość ta nie jest zbyt duża i wynosi 3 lub 6 – po tylu próbach serwer automatycznie zerwie połączenie z osobą, która próbuje się do niego zalogować. Wykorzystując exploit da się jednak to zupełnie ominąć. Dziurę da się wykorzystać wszędzie tam, gdzie uruchomiona jest obsługa uwierzytelnienia interaktywnego za pomocą klawiatury i PAM. Dzięki niej atakujący jest w stanie przy jednym połączeniu wypróbować nawet kilka tysięcy różnych haseł. Wszystko zależy od szybkości połączenia internetowego, serwera, a także ustawienia LoginGraceTime, które reguluje maksymalny dopuszczalny czas na zalogowanie się. Czas ten jest różny w zależności od serwera i tego, jak został skonfigurowany przez administratora, może jednak wynosić nawet kilka minut. Exploit działa zarówno na najnowszej wersji OpenSSH 6.9, jak i znacznie starszej 6.2 załączanej do FreeBSD z 2007 roku. Nie jest to więc wynik regresji, lecz błąd istniejący w bibliotekach od dawna. Jak duże jest ryzyko ataku i czy powinniśmy się tym problemem martwić? Wszystko zależy od tego, w jaki sposób skonfigurowaliśmy uwierzytelnienie na serwerze. Dobrym rozwiązaniem jest wykorzystanie do logowania kluczy i całkowite wyłączenie logowania za pomocą klawiatury. Oczywiście w takich przypadkach powinniśmy pamiętać o tym, aby klucz prywatny zabezpieczyć odpowiednio silnym hasłem – w przeciwnym razie jego przechwycenie może mieć dla nas katastrofalne skutki. Wykorzystać możemy także inne metody i uwierzytelnienie dwuskładnikowe jak np. Google Authenticator znajdujący się w pakiecie libpam-google-authenticator. Jeżeli możemy sobie na to pozwolić, powinniśmy zmniejszyć maksymalną liczbę prób logowania (MaxAuthTries) na wartość jak najniższą. Podobnie zróbmy z wartością LoginGraceTime badając, jak wiele czasu potrzebujemy do zalogowania. Aby automatycznie radzić sobie z intruzami, warto wykorzystać dodatkowe narzędzia takie jak np. fail2ban czy zestaw narzędzi ConfigServer Security & Firewall (CSF). Narażone na atak są te serwery, których administratorzy zapominają o kwestii bezpieczeństwa. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Windows 10: łatkowy wtorek w Microsofcie. Co tym razem? Niestety, dość sporo 10 cze 2020 Kamil J. Dudek Oprogramowanie Bezpieczeństwo IT.Pro 87 Kr00k to nowa podatność w układach Wi-Fi. Ponad miliard urządzeń zagrożonych 27 lut 2020 Arkadiusz Stando Oprogramowanie Sprzęt Bezpieczeństwo 31 Wi-Fi bywa niebezpieczne. Badacze odkryli luki w modemach Qualcomm i MediaTek 9 sie 2020 Oskar Ziomek Sprzęt Internet Bezpieczeństwo 52 Apple: macOS ma poważną lukę. Chodzi o kradzież danych, firma nie reaguje 1 lip 2020 Jakub Krawczyński Oprogramowanie Bezpieczeństwo 34
Udostępnij: O autorze Łukasz Tkacz Badacz posługujący się pseudonimem Kingscope poinformował o odkryciu poważnej luki w zestawie OpenSSH stosowanym m.in. do zapewnienia bezpiecznej komunikacji między komputerami. Dzięki jej istnieniu możliwe jest wykonanie ataku typu brute force w celu odgadnięcie hasła i zalogowania się do serwera. Podatne są zarówno najnowsze, jak i starsze wersje OpenSSH. Odkrywca podatności przestawił na swoim blogu działający exploit dla OpenSSH. Luka jest poważna, umożliwia bowiem ominięcie limitu liczby niepoprawnych logowań, jaką określa się opcją MaxAuthTries w pliku konfiguracyjnym sshd_config. Domyślnie wartość ta nie jest zbyt duża i wynosi 3 lub 6 – po tylu próbach serwer automatycznie zerwie połączenie z osobą, która próbuje się do niego zalogować. Wykorzystując exploit da się jednak to zupełnie ominąć. Dziurę da się wykorzystać wszędzie tam, gdzie uruchomiona jest obsługa uwierzytelnienia interaktywnego za pomocą klawiatury i PAM. Dzięki niej atakujący jest w stanie przy jednym połączeniu wypróbować nawet kilka tysięcy różnych haseł. Wszystko zależy od szybkości połączenia internetowego, serwera, a także ustawienia LoginGraceTime, które reguluje maksymalny dopuszczalny czas na zalogowanie się. Czas ten jest różny w zależności od serwera i tego, jak został skonfigurowany przez administratora, może jednak wynosić nawet kilka minut. Exploit działa zarówno na najnowszej wersji OpenSSH 6.9, jak i znacznie starszej 6.2 załączanej do FreeBSD z 2007 roku. Nie jest to więc wynik regresji, lecz błąd istniejący w bibliotekach od dawna. Jak duże jest ryzyko ataku i czy powinniśmy się tym problemem martwić? Wszystko zależy od tego, w jaki sposób skonfigurowaliśmy uwierzytelnienie na serwerze. Dobrym rozwiązaniem jest wykorzystanie do logowania kluczy i całkowite wyłączenie logowania za pomocą klawiatury. Oczywiście w takich przypadkach powinniśmy pamiętać o tym, aby klucz prywatny zabezpieczyć odpowiednio silnym hasłem – w przeciwnym razie jego przechwycenie może mieć dla nas katastrofalne skutki. Wykorzystać możemy także inne metody i uwierzytelnienie dwuskładnikowe jak np. Google Authenticator znajdujący się w pakiecie libpam-google-authenticator. Jeżeli możemy sobie na to pozwolić, powinniśmy zmniejszyć maksymalną liczbę prób logowania (MaxAuthTries) na wartość jak najniższą. Podobnie zróbmy z wartością LoginGraceTime badając, jak wiele czasu potrzebujemy do zalogowania. Aby automatycznie radzić sobie z intruzami, warto wykorzystać dodatkowe narzędzia takie jak np. fail2ban czy zestaw narzędzi ConfigServer Security & Firewall (CSF). Narażone na atak są te serwery, których administratorzy zapominają o kwestii bezpieczeństwa. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji