Dziura w OpenSSH pozwala na atak brute force. Radzimy, jak się zabezpieczyć

O autorze

Łukasz Tkacz

Badacz posługujący się pseudonimem Kingscope poinformował o odkryciu poważnej luki w zestawie OpenSSH stosowanym m.in. do zapewnienia bezpiecznej komunikacji między komputerami. Dzięki jej istnieniu możliwe jest wykonanie ataku typu brute force w celu odgadnięcie hasła i zalogowania się do serwera. Podatne są zarówno najnowsze, jak i starsze wersje OpenSSH.

Odkrywca podatności przestawił na swoim blogu działający exploit dla OpenSSH. Luka jest poważna, umożliwia bowiem ominięcie limitu liczby niepoprawnych logowań, jaką określa się opcją MaxAuthTries w pliku konfiguracyjnym sshd_config. Domyślnie wartość ta nie jest zbyt duża i wynosi 3 lub 6 – po tylu próbach serwer automatycznie zerwie połączenie z osobą, która próbuje się do niego zalogować. Wykorzystując exploit da się jednak to zupełnie ominąć.

Dziurę da się wykorzystać wszędzie tam, gdzie uruchomiona jest obsługa uwierzytelnienia interaktywnego za pomocą klawiatury i PAM. Dzięki niej atakujący jest w stanie przy jednym połączeniu wypróbować nawet kilka tysięcy różnych haseł. Wszystko zależy od szybkości połączenia internetowego, serwera, a także ustawienia LoginGraceTime, które reguluje maksymalny dopuszczalny czas na zalogowanie się. Czas ten jest różny w zależności od serwera i tego, jak został skonfigurowany przez administratora, może jednak wynosić nawet kilka minut. Exploit działa zarówno na najnowszej wersji OpenSSH 6.9, jak i znacznie starszej 6.2 załączanej do FreeBSD z 2007 roku. Nie jest to więc wynik regresji, lecz błąd istniejący w bibliotekach od dawna.

Jak duże jest ryzyko ataku i czy powinniśmy się tym problemem martwić? Wszystko zależy od tego, w jaki sposób skonfigurowaliśmy uwierzytelnienie na serwerze. Dobrym rozwiązaniem jest wykorzystanie do logowania kluczy i całkowite wyłączenie logowania za pomocą klawiatury. Oczywiście w takich przypadkach powinniśmy pamiętać o tym, aby klucz prywatny zabezpieczyć odpowiednio silnym hasłem – w przeciwnym razie jego przechwycenie może mieć dla nas katastrofalne skutki. Wykorzystać możemy także inne metody i uwierzytelnienie dwuskładnikowe jak np. Google Authenticator znajdujący się w pakiecie libpam-google-authenticator.

Jeżeli możemy sobie na to pozwolić, powinniśmy zmniejszyć maksymalną liczbę prób logowania (MaxAuthTries) na wartość jak najniższą. Podobnie zróbmy z wartością LoginGraceTime badając, jak wiele czasu potrzebujemy do zalogowania. Aby automatycznie radzić sobie z intruzami, warto wykorzystać dodatkowe narzędzia takie jak np. fail2ban czy zestaw narzędzi ConfigServer Security & Firewall (CSF). Narażone na atak są te serwery, których administratorzy zapominają o kwestii bezpieczeństwa.