¿0 day en SSH? - Peligroso defecto de seguridad probablemente sólo una falsa alarma
Una reivindicación de una vulnerabilidad en el software de un programa utilizado para conectarse de forma segura a los servidores a través de Internet es probablemente una falsa alarma, según un analista del Centro de Tormenta SANS Internet.
El programa, llamado OpenSSH (Secure Shell), está instalado en decenas de millones de servidores de proveedores tales como Red Hat, Hewlett-Packard, Apple e IBM. Es utilizado por los administradores para hacer conexiones encriptadas con otros ordenadores y realizar tareas como la actualización de archivos de forma remota. OpenSSH es la versión de código abierto, y hay versiones comerciales del programa.
A principios de esta semana, SANS recibió un correo electrónico anónimo reivindicando una vulnerabilidad de día cero en OpenSSH, lo que significa una falla en el software ya está siendo explotado, y que se ha hecho público. Es el tipo más peligroso de vulnerabilidad de software, ya que significa que aún no hay solución y que los chicos malos la conocen.
Una verdadera vulnerabilidad de día cero en OpenSSH podría ser devastador para la Internet, permitiendo a los hackers a tener carta blanca para el acceso a servidores y PCs hasta que una solución o un parche esté listo.
"Por eso creo que la gente realmente está creando un poco de pánico", dijo Bojan Zdrnja, un analista y consultor senior de seguridad de la información de SANS en Infigo, una compañía de seguridad y pruebas de penetración en Zagreb, Croacia."La gente que no debe entrar en pánico ahora. Nada en este momento señala que haya un exploit que se esté utilizando."
Las pruebas de una verdadera vulnerabilidad de día cero en OpenSSH es débil, dijo Zdrnja. Hasta ahora, los analistas no han visto un exploit funcionando, a pesar de las preocupaciones de un grupo llamado Anti-Sec puedan haber encontrado un día cero que les haya permitido el control de un servidor Web. Detalles sobre el hackeo se publicaron en Full Disclosure, que es un foro de información de seguridad, sin moderador.
Cuando fue presionado por más detalles, una persona que dice ser parte de Anti-Sec escribió un e-mail al Servicio de Noticias IDG diciendo "no estoy autorizado a discutir realmente la explotación (o si existe o no)", quien firmó con "Anónimo".
Zdrnja dijo que el mismo grupo comprometió recientemente otro servidor, pero parece ser un ataque de fuerza bruta contra OpenSSH. Un ataque de fuerza bruta es cuando un hacker intenta muchas combinaciones de credenciales de autenticación a fin de obtener acceso a un servidor.Si un administrador está utilizando simples inicios de sesión y las contraseñas, eso hace más vulnerable a un servidor a un ataque de fuerza bruta, dijo Zdrnja.
Ambos servidores comprometidos son administrados por la misma persona. "Supongo que lo que estamos tratando aquí son dos piratas informáticos en una guerra entre ellos mismos", dijo Zdrnja.
Pero hay otros factores que indican un día cero para OpenSSH no existe. Si el día cero ha existido, los hackers quizás sería más probable que lo utilicen contra un servidor de más alto perfil que el que recientemente fue comprometido, dijo Zdrnja.
Uno de los desarrolladores de OpenSSH, Damien Miller, también echó agua fría sobre la posibilidad de un día cero. Miller escribió en un foro de OpenSSH el miércoles que intercambió mensajes de correo electrónico con una supuesta víctima del día cero, pero los ataques parecen ser "simple fuerza bruta."
"Por lo tanto, no estoy convencido de que exista un día cero en absoluto", escribió Miller. "La única prueba hasta el momento son algunos rumores anónimos y transcripciones de intrusión no verificable".
También parece haber cierta confusión entre el presunta día cero y una vulnerabilidad en OpenSSH, dijo Zdrnja. Esa vulnerabilidad, que estaba hasta un momento sin parchear, podía permitir a un atacante recuperar hasta 32 bits de texto plano de un bloque de texto cifrado arbitrario de una conexión asegurada mediante el protocolo SSH en la configuración estándar, según un del Centro del Reino Unido para la Protección de Infraestructura Nacional (CPNI).
La gravedad de la vulnerabilidad se considera alto, pero la probabilidad de éxito de la explotación es baja, de acuerdo con CPNI. Zdrnja dijo que los administradores pueden implementar mecanismos de autenticación más fuertes en OpenSSH usando claves públicas y privadas para protegerse contra un ataque exitoso. En un boletín, OpenSSH también estableció que la posibilidad de un ataque con éxito es baja.
Al final se confirmó que todo fue un rumor sin fundamentos.
Traducción de Raúl Batista para Segu-Info
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!