В СПО 20 лет зияла дыра, обнажающая пароли миллиардов устройств

Этот пост был первоначально опубликован на этот сайт

РБК-CNEWS

20-летний «баг»

Эксперты по информационной безопасности компании Qualys выявили довольно серьезную уязвимость в OpenSSH, позволяющую злоумышленнику угадать логины, зарегистрированные на серверах, использующих эту технологию.

Напомним, OpenSSH представляет собой свободное ПО для удаленного управления компьютерами и передачи файлов с использованием протокола Secure Shell (SSH).

Самое неприятное, что найденная проблема присутствует во всех версиях клиента OpenSSH, выпущенные за последние два десятилетия. А учитывая степень распространенности этой технологии, речь идет о миллиардах устройств интернета вещей и связанных с ними серверов.

Баг позволяет потенциальному злоумышленнику подобрать пользовательское имя для авторизации на сервере OpenSSH. Для этого потребуется отправить специально сформированный запрос для аутентификации. Сервер может отреагировать двумя разными способами: если включенный в запрос логин не существует вообще, он ответит сообщением об ошибке, однако если указанное имя пользователя существует, соединение будет прервано без ответа.

В OpenSSH 20 лет скрывался серьезный «баг»

Это позволяет злоумышленнику угадать действительные логины, зарегистрированные на SSH-сервере. Дальше он может попытаться подобрать пароли с помощью брутфорс-атак или перебора по словарю.

Случайная находка

Интересно, что уязвимость была обнаружена случайно фактически уже после ее исправления (тоже случайного): эксперты из Qualys установили, что изменения, внесенные в код OpeneSSH под OpenBSD, устраняют «баг», о существовании которого, скорее всего, никто не догадывался.

Уязвимость под индексом CVE-2018-15473 исправлена в стабильных версиях OpenSSH 1:6.7p1-1 и 1:7.7p1-1 и нестабильной ветке 1:7.7p1-4. Патчи поступили в дистрибутивы Debian и, вероятно, другие дистрибутивы Linux.

Помимо этого есть целый ряд промежуточных способов нейтрализовать угрозу — таких, например, как отключение авторизации OpenSSH или использование альтернативных способов авторизации на удаленных устройствах. Также возможно отключение метода авторизации в OpenSSH с публичным ключом — как раз в этой функции и скрывается уязвимость. Это означает, что при каждой попытке залогиниться администраторам удаленного устройства придется вручную вводить логин и пароль.

В Сети уже опубликованы экспериментальный эксплойт и рекомендации по тестированию серверов на наличие этой уязвимости и выявлению попыток

подробнее на {{ original_post_url}}