Спецпроекты

ПО Безопасность Бизнес Интернет

В СПО 20 лет зияла дыра, обнажающая пароли миллиардов устройств

Уязвимость в OpenSSH позволяет с относительной простотой подбирать логины к устройствам и серверам интернета вещей. Опубликованы патчи и экспериментальный эксплойт.

20-летний «баг»

Эксперты по информационной безопасности компании Qualys выявили довольно серьезную уязвимость в OpenSSH, позволяющую злоумышленнику угадать логины, зарегистрированные на серверах, использующих эту технологию.

Напомним, OpenSSH представляет собой свободное ПО для удаленного управления компьютерами и передачи файлов с использованием протокола Secure Shell (SSH).

Самое неприятное, что найденная проблема присутствует во всех версиях клиента OpenSSH, выпущенные за последние два десятилетия. А учитывая степень распространенности этой технологии, речь идет о миллиардах устройств интернета вещей и связанных с ними серверов.

Баг позволяет потенциальному злоумышленнику подобрать пользовательское имя для авторизации на сервере OpenSSH. Для этого потребуется отправить специально сформированный запрос для аутентификации. Сервер может отреагировать двумя разными способами: если включенный в запрос логин не существует вообще, он ответит сообщением об ошибке, однако если указанное имя пользователя существует, соединение будет прервано без ответа.

haker600.jpg
В OpenSSH 20 лет скрывался серьезный «баг»

Это позволяет злоумышленнику угадать действительные логины, зарегистрированные на SSH-сервере. Дальше он может попытаться подобрать пароли с помощью брутфорс-атак или перебора по словарю.

Случайная находка

Интересно, что уязвимость была обнаружена случайно фактически уже после ее исправления (тоже случайного): эксперты из Qualys установили, что изменения, внесенные в код OpeneSSH под OpenBSD, устраняют «баг», о существовании которого, скорее всего, никто не догадывался.

Уязвимость под индексом CVE-2018-15473 исправлена в стабильных версиях OpenSSH 1:6.7p1-1 и 1:7.7p1-1 и нестабильной ветке 1:7.7p1-4. Патчи поступили в дистрибутивы Debian и, вероятно, другие дистрибутивы Linux.

Помимо этого есть целый ряд промежуточных способов нейтрализовать угрозу — таких, например, как отключение авторизации OpenSSH или использование альтернативных способов авторизации на удаленных устройствах. Также возможно отключение метода авторизации в OpenSSH с публичным ключом — как раз в этой функции и скрывается уязвимость. Это означает, что при каждой попытке залогиниться администраторам удаленного устройства придется вручную вводить логин и пароль.

В Сети уже опубликованы экспериментальный эксплойт и рекомендации по тестированию серверов на наличие этой уязвимости и выявлению попыток ее эксплуатации.

«Проблема в том, что между выпуском патча к уязвимости и его установкой может проходить большое количество времени, — говорит Роман Гинятуллин, эксперт по информационной безопасности компании SEC Consult Services. — Количество уязвимых устройств велико, в то время как существование PoC-ов резко повышает вероятность атак. Другое дело, что сами эти атаки едва ли станут массовыми — слишком много времени и усилий приходится тратить на них. К тому же устройства интернета вещей зачастую изобилуют другими уязвимостями, более простыми в эксплуатации».

Роман Георгиев

Короткая ссылка