Dziura w OpenSSH pozwala na atak brute force. Radzimy, jak się zabezpieczyć Strona główna Aktualności22.07.2015 18:56 Udostępnij: O autorze Łukasz Tkacz Badacz posługujący się pseudonimem Kingscope poinformował o odkryciu poważnej luki w zestawie OpenSSH stosowanym m.in. do zapewnienia bezpiecznej komunikacji między komputerami. Dzięki jej istnieniu możliwe jest wykonanie ataku typu brute force w celu odgadnięcie hasła i zalogowania się do serwera. Podatne są zarówno najnowsze, jak i starsze wersje OpenSSH. Odkrywca podatności przestawił na swoim blogu działający exploit dla OpenSSH. Luka jest poważna, umożliwia bowiem ominięcie limitu liczby niepoprawnych logowań, jaką określa się opcją MaxAuthTries w pliku konfiguracyjnym sshd_config. Domyślnie wartość ta nie jest zbyt duża i wynosi 3 lub 6 – po tylu próbach serwer automatycznie zerwie połączenie z osobą, która próbuje się do niego zalogować. Wykorzystując exploit da się jednak to zupełnie ominąć. Dziurę da się wykorzystać wszędzie tam, gdzie uruchomiona jest obsługa uwierzytelnienia interaktywnego za pomocą klawiatury i PAM. Dzięki niej atakujący jest w stanie przy jednym połączeniu wypróbować nawet kilka tysięcy różnych haseł. Wszystko zależy od szybkości połączenia internetowego, serwera, a także ustawienia LoginGraceTime, które reguluje maksymalny dopuszczalny czas na zalogowanie się. Czas ten jest różny w zależności od serwera i tego, jak został skonfigurowany przez administratora, może jednak wynosić nawet kilka minut. Exploit działa zarówno na najnowszej wersji OpenSSH 6.9, jak i znacznie starszej 6.2 załączanej do FreeBSD z 2007 roku. Nie jest to więc wynik regresji, lecz błąd istniejący w bibliotekach od dawna. Jak duże jest ryzyko ataku i czy powinniśmy się tym problemem martwić? Wszystko zależy od tego, w jaki sposób skonfigurowaliśmy uwierzytelnienie na serwerze. Dobrym rozwiązaniem jest wykorzystanie do logowania kluczy i całkowite wyłączenie logowania za pomocą klawiatury. Oczywiście w takich przypadkach powinniśmy pamiętać o tym, aby klucz prywatny zabezpieczyć odpowiednio silnym hasłem – w przeciwnym razie jego przechwycenie może mieć dla nas katastrofalne skutki. Wykorzystać możemy także inne metody i uwierzytelnienie dwuskładnikowe jak np. Google Authenticator znajdujący się w pakiecie libpam-google-authenticator. Jeżeli możemy sobie na to pozwolić, powinniśmy zmniejszyć maksymalną liczbę prób logowania (MaxAuthTries) na wartość jak najniższą. Podobnie zróbmy z wartością LoginGraceTime badając, jak wiele czasu potrzebujemy do zalogowania. Aby automatycznie radzić sobie z intruzami, warto wykorzystać dodatkowe narzędzia takie jak np. fail2ban czy zestaw narzędzi ConfigServer Security & Firewall (CSF). Narażone na atak są te serwery, których administratorzy zapominają o kwestii bezpieczeństwa. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji Zobacz także Błąd w ważnej bibliotece: tysiące serwerów pozwalają na nieautoryzowane logowanie 17 paź 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo IT.Pro 115 Poważna luka w nowym iOS 12.1 umożliwia kradzież „usuniętych" zdjęć z iPhone'a 15 lis 2018 Mateusz Budzeń Oprogramowanie Bezpieczeństwo 34 Luka w Windowsie 10 pozwala kasować pliki. Na poprawkę poczekamy do listopada 24 paź 2018 Anna Rymsza Oprogramowanie Bezpieczeństwo 81 Pliki vCard w Windows mogą być niebezpieczne – uwaga na linki w wizytówkach 15 sty Oskar Ziomek Oprogramowanie Bezpieczeństwo 29
Udostępnij: O autorze Łukasz Tkacz Badacz posługujący się pseudonimem Kingscope poinformował o odkryciu poważnej luki w zestawie OpenSSH stosowanym m.in. do zapewnienia bezpiecznej komunikacji między komputerami. Dzięki jej istnieniu możliwe jest wykonanie ataku typu brute force w celu odgadnięcie hasła i zalogowania się do serwera. Podatne są zarówno najnowsze, jak i starsze wersje OpenSSH. Odkrywca podatności przestawił na swoim blogu działający exploit dla OpenSSH. Luka jest poważna, umożliwia bowiem ominięcie limitu liczby niepoprawnych logowań, jaką określa się opcją MaxAuthTries w pliku konfiguracyjnym sshd_config. Domyślnie wartość ta nie jest zbyt duża i wynosi 3 lub 6 – po tylu próbach serwer automatycznie zerwie połączenie z osobą, która próbuje się do niego zalogować. Wykorzystując exploit da się jednak to zupełnie ominąć. Dziurę da się wykorzystać wszędzie tam, gdzie uruchomiona jest obsługa uwierzytelnienia interaktywnego za pomocą klawiatury i PAM. Dzięki niej atakujący jest w stanie przy jednym połączeniu wypróbować nawet kilka tysięcy różnych haseł. Wszystko zależy od szybkości połączenia internetowego, serwera, a także ustawienia LoginGraceTime, które reguluje maksymalny dopuszczalny czas na zalogowanie się. Czas ten jest różny w zależności od serwera i tego, jak został skonfigurowany przez administratora, może jednak wynosić nawet kilka minut. Exploit działa zarówno na najnowszej wersji OpenSSH 6.9, jak i znacznie starszej 6.2 załączanej do FreeBSD z 2007 roku. Nie jest to więc wynik regresji, lecz błąd istniejący w bibliotekach od dawna. Jak duże jest ryzyko ataku i czy powinniśmy się tym problemem martwić? Wszystko zależy od tego, w jaki sposób skonfigurowaliśmy uwierzytelnienie na serwerze. Dobrym rozwiązaniem jest wykorzystanie do logowania kluczy i całkowite wyłączenie logowania za pomocą klawiatury. Oczywiście w takich przypadkach powinniśmy pamiętać o tym, aby klucz prywatny zabezpieczyć odpowiednio silnym hasłem – w przeciwnym razie jego przechwycenie może mieć dla nas katastrofalne skutki. Wykorzystać możemy także inne metody i uwierzytelnienie dwuskładnikowe jak np. Google Authenticator znajdujący się w pakiecie libpam-google-authenticator. Jeżeli możemy sobie na to pozwolić, powinniśmy zmniejszyć maksymalną liczbę prób logowania (MaxAuthTries) na wartość jak najniższą. Podobnie zróbmy z wartością LoginGraceTime badając, jak wiele czasu potrzebujemy do zalogowania. Aby automatycznie radzić sobie z intruzami, warto wykorzystać dodatkowe narzędzia takie jak np. fail2ban czy zestaw narzędzi ConfigServer Security & Firewall (CSF). Narażone na atak są te serwery, których administratorzy zapominają o kwestii bezpieczeństwa. Oprogramowanie Udostępnij: © dobreprogramy Zgłoś błąd w publikacji