Уязвимость в OpenSSH позволяет с относительной простотой подбирать логины к устройствам и серверам интернета вещей. Опубликованы патчи и экспериментальный эксплойт.
20-летний баг
Эксперты по информационной безопасности компании Qualys выявили довольно серьезную уязвимость в OpenSSH, позволяющую злоумышленнику угадать логины, зарегистрированные на серверах, использующих эту технологию.
Напомним, OpenSSH представляет собой свободное ПО для удаленного управления компьютерами и передачи файлов с использованием протокола Secure Shell (SSH).
Самое неприятное, что найденная проблема присутствует во всех версиях клиента OpenSSH, выпущенные за последние два десятилетия. А учитывая степень распространенности этой технологии, речь идет о миллиардах устройств интернета вещей и связанных с ними серверов.
Баг позволяет потенциальному злоумышленнику подобрать пользовательское имя для авторизации на сервере OpenSSH. Для этого потребуется отправить специально сформированный запрос для аутентификации. Сервер может отреагировать двумя разными способами: если включенный в запрос логин не существует вообще, он ответит сообщением об ошибке, однако если указанное имя пользователя существует, соединение будет прервано без ответа.
Случайная находка
Интересно, что уязвимость была обнаружена случайно фактически уже после ее исправления (тоже случайного): эксперты из Qualys установили, что изменения, внесенные в код OpeneSSH под OpenBSD, устраняют «баг», о существовании которого, скорее всего, никто не догадывался.
Уязвимость под индексом CVE-2018-15473 исправлена в стабильных версиях OpenSSH 1:6.7p1-1 и 1:7.7p1-1 и нестабильной ветке 1:7.7p1-4. Патчи поступили в дистрибутивы Debian и, вероятно, другие дистрибутивы Linux.
Помимо этого есть целый ряд промежуточных способов нейтрализовать угрозу — таких, например, как отключение авторизации OpenSSH или использование альтернативных способов авторизации на удаленных устройствах. Также возможно отключение метода авторизации в OpenSSH с публичным ключом — как раз в этой функции и скрывается уязвимость. Это означает, что при каждой попытке залогиниться администраторам удаленного устройства придется вручную вводить логин и пароль.
В Сети уже опубликованы экспериментальный эксплойт и рекомендации по тестированию серверов на наличие этой уязвимости и выявлению попыток ее эксплуатации.
«Проблема в том, что между выпуском патча к уязвимости и его установкой может проходить большое количество времени, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Количество уязвимых устройств велико, в то время как существование PoC-ов резко повышает вероятность атак. Другое дело, что сами эти атаки едва ли станут массовыми — слишком много времени и усилий приходится тратить на них. К тому же устройства интернета вещей зачастую изобилуют другими уязвимостями, более простыми в эксплуатации».
Источник: CNews