22 jul. 2015

Vulnerabilidad en OpenSSH de 10 años de antiguedad (en FreeBSD)

Se ha publicado una nueva vulnerabilidad en OpenSSH que permite que un atacante ataques de fuerza bruta contra la contraseña en un corto período de tiempo. En Reddit han estado discutiendo sobre el tema, su gravedad y forma de prevención.

En circunstancias normales, OpenSSH permitiría de tres o seis intentos de inicio de sesión antes de cerrar una conexión. El investigador Kingcope publicó la semana pasada una vulnerabilidad que permite a los atacantes realizar miles de solicitudes de autenticación durante una ventana de inicio de sesión, que por defecto dura dos minutos.

KingCope escribió:
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
Esto permitirá efectivamente realizar 10.000 solicitudes de contraseña por la falta de limitación de la variable MaxAuthTries y sólo limitadas por los dos minutos del período de gracia de inicio de sesión.

El post incluye el código del exploit que funciona con la última versión de OpenSSH actual, la 6.9, pero en otro post KingCope dijo que incluso había funcionado contra una versión de OpenSSH de 2007 sobre FreeBSD.

"Lamentablemente, los ataques de fuerza bruta contra SSH siguen siendo una amenaza en Internet, y esta vulnerabilidad hace que esos ataques sean más fáciles y eficiente", dijo Jon Oberheide, CTO de Duo Security.

Las personas que utilizan OpenSSH deberían tomarse el tiempo para asegurarse de que están utilizando un par de claves criptográficas de al menos de 2.048 bits de longitud. También debe asegurar que la clave privada está protegida por una contraseña fuerte. Y otra vez, los usuarios deben asegurarse que sus servidores están configurados para usar la limitación de velocidad. Aún así, suponiendo que los desarrolladores de OpenSSH arreglen el fallo, los administradores deberán instalar el parche a la brevedad.

Actualización: el bug parece funcionar solo en FreeBSD y aquí está la actualización.

Fuente: Arstechnica

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!