Dziura w OpenSSH pozwala na atak brute force. Radzimy, jak się zabezpieczyć Strona główna Aktualności22.07.2015 18:56 Udostępnij: O autorze Łukasz Tkacz Badacz posługujący się pseudonimem Kingscope poinformował o odkryciu poważnej luki w zestawie OpenSSH stosowanym m.in. do zapewnienia bezpiecznej komunikacji między komputerami. Dzięki jej istnieniu możliwe jest wykonanie ataku typu brute force w celu odgadnięcie hasła i zalogowania się do serwera. Podatne są zarówno najnowsze, jak i starsze wersje OpenSSH. Odkrywca podatności przestawił na swoim blogu działający exploit dla OpenSSH. Luka jest poważna, umożliwia bowiem ominięcie limitu liczby niepoprawnych logowań, jaką określa się opcją MaxAuthTries w pliku konfiguracyjnym sshd_config. Domyślnie wartość ta nie jest zbyt duża i wynosi 3 lub 6 – po tylu próbach serwer automatycznie zerwie połączenie z osobą, która próbuje się do niego zalogować. Wykorzystując exploit da się jednak to zupełnie ominąć. Dziurę da się wykorzystać wszędzie tam, gdzie uruchomiona jest obsługa uwierzytelnienia interaktywnego za pomocą klawiatury i PAM. Dzięki niej atakujący jest w stanie przy jednym połączeniu wypróbować nawet kilka tysięcy różnych haseł. Wszystko zależy od szybkości połączenia internetowego, serwera, a także ustawienia LoginGraceTime, które reguluje maksymalny dopuszczalny czas na zalogowanie się. Czas ten jest różny w zależności od serwera i tego, jak został skonfigurowany przez administratora, może jednak wynosić nawet kilka minut. Exploit działa zarówno na najnowszej wersji OpenSSH 6.9, jak i znacznie starszej 6.2 załączanej do FreeBSD z 2007 roku. Nie jest to więc wynik regresji, lecz błąd istniejący w bibliotekach od dawna. Jak duże jest ryzyko ataku i czy powinniśmy się tym problemem martwić? Wszystko zależy od tego, w jaki sposób skonfigurowaliśmy uwierzytelnienie na serwerze. Dobrym rozwiązaniem jest wykorzystanie do logowania kluczy i całkowite wyłączenie logowania za pomocą klawiatury. Oczywiście w takich przypadkach powinniśmy pamiętać o tym, aby klucz prywatny zabezpieczyć odpowiednio silnym hasłem – w przeciwnym razie jego przechwycenie może mieć dla nas katastrofalne skutki. Wykorzystać możemy także inne metody i uwierzytelnienie dwuskładnikowe jak np. Google Authenticator znajdujący się w pakiecie libpam-google-authenticator. Jeżeli możemy sobie na to pozwolić, powinniśmy zmniejszyć maksymalną liczbę prób logowania (MaxAuthTries) na wartość jak najniższą. Podobnie zróbmy z wartością LoginGraceTime badając, jak wiele czasu potrzebujemy do zalogowania. Aby automatycznie radzić sobie z intruzami, warto wykorzystać dodatkowe narzędzia takie jak np. fail2ban czy zestaw narzędzi ConfigServer Security & Firewall (CSF). Narażone na atak są te serwery, których administratorzy zapominają o kwestii bezpieczeństwa. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także DistroWatch przechodzi na FreeBSD. W Linuksie czegoś brak 25 sty Kamil J. Dudek Oprogramowanie IT.Pro 165 inFakt uruchomił Bug Bounty: minimum 3 tysiące złotych za krytyczną podatność 22 lis 2019 Oskar Ziomek Oprogramowanie Internet Biznes Bezpieczeństwo IT.Pro 39 Nvidia łata podatność w GeForce Experience – dotyczy posiadaczy wszystkich wersji Windowsa 24 gru 2019 Piotr Urbaniak Oprogramowanie Gaming Bezpieczeństwo 23 Xbox Bounty już działa. Microsoft zapłaci za wykrytą lukę do 20 tys. dolarów 31 sty Oskar Ziomek Oprogramowanie Gaming Biznes Bezpieczeństwo 10
Udostępnij: O autorze Łukasz Tkacz Badacz posługujący się pseudonimem Kingscope poinformował o odkryciu poważnej luki w zestawie OpenSSH stosowanym m.in. do zapewnienia bezpiecznej komunikacji między komputerami. Dzięki jej istnieniu możliwe jest wykonanie ataku typu brute force w celu odgadnięcie hasła i zalogowania się do serwera. Podatne są zarówno najnowsze, jak i starsze wersje OpenSSH. Odkrywca podatności przestawił na swoim blogu działający exploit dla OpenSSH. Luka jest poważna, umożliwia bowiem ominięcie limitu liczby niepoprawnych logowań, jaką określa się opcją MaxAuthTries w pliku konfiguracyjnym sshd_config. Domyślnie wartość ta nie jest zbyt duża i wynosi 3 lub 6 – po tylu próbach serwer automatycznie zerwie połączenie z osobą, która próbuje się do niego zalogować. Wykorzystując exploit da się jednak to zupełnie ominąć. Dziurę da się wykorzystać wszędzie tam, gdzie uruchomiona jest obsługa uwierzytelnienia interaktywnego za pomocą klawiatury i PAM. Dzięki niej atakujący jest w stanie przy jednym połączeniu wypróbować nawet kilka tysięcy różnych haseł. Wszystko zależy od szybkości połączenia internetowego, serwera, a także ustawienia LoginGraceTime, które reguluje maksymalny dopuszczalny czas na zalogowanie się. Czas ten jest różny w zależności od serwera i tego, jak został skonfigurowany przez administratora, może jednak wynosić nawet kilka minut. Exploit działa zarówno na najnowszej wersji OpenSSH 6.9, jak i znacznie starszej 6.2 załączanej do FreeBSD z 2007 roku. Nie jest to więc wynik regresji, lecz błąd istniejący w bibliotekach od dawna. Jak duże jest ryzyko ataku i czy powinniśmy się tym problemem martwić? Wszystko zależy od tego, w jaki sposób skonfigurowaliśmy uwierzytelnienie na serwerze. Dobrym rozwiązaniem jest wykorzystanie do logowania kluczy i całkowite wyłączenie logowania za pomocą klawiatury. Oczywiście w takich przypadkach powinniśmy pamiętać o tym, aby klucz prywatny zabezpieczyć odpowiednio silnym hasłem – w przeciwnym razie jego przechwycenie może mieć dla nas katastrofalne skutki. Wykorzystać możemy także inne metody i uwierzytelnienie dwuskładnikowe jak np. Google Authenticator znajdujący się w pakiecie libpam-google-authenticator. Jeżeli możemy sobie na to pozwolić, powinniśmy zmniejszyć maksymalną liczbę prób logowania (MaxAuthTries) na wartość jak najniższą. Podobnie zróbmy z wartością LoginGraceTime badając, jak wiele czasu potrzebujemy do zalogowania. Aby automatycznie radzić sobie z intruzami, warto wykorzystać dodatkowe narzędzia takie jak np. fail2ban czy zestaw narzędzi ConfigServer Security & Firewall (CSF). Narażone na atak są te serwery, których administratorzy zapominają o kwestii bezpieczeństwa. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji