這個漏洞影響過去二十年發布的所有 OpenSSH 版本!
一個漏洞影響過去二十年發布的OpenSSH客戶軟體的所有版本,該應用軟體於1999年發布。
這個安全漏洞本周收到了補丁,但由於OpenSSH客戶軟體嵌入到眾多的應用軟體和硬體設備中,因此補丁需要數月乃至數年才能部署到所有受影響的系統上。
OpenSSH中發現了用戶名枚舉漏洞
安全公司Qualys的安全研究人員上周發現了這個特殊的漏洞(http://seclists.org/oss-sec/2018/q3/124),他們在OpenBSD的OpenSSH源代碼中發現了提交代碼。
研究人員在分析了該提交代碼後意識到,該代碼無意中修復了自OpenSSH客戶軟體問世以來處於休眠狀態的一個安全漏洞。
該漏洞讓遠程攻擊者得以猜出OpenSSH伺服器上註冊的用戶名。由於OpenSSH與從雲託管伺服器到物聯網設備的眾多技術結合使用,因此數十億設備受到了影響。
正如研究人員解釋的那樣,攻擊場景依賴攻擊者通過畸形的身份驗證請求(比如通過截斷的數據包),試圖在OpenSSH端點上進行身份驗證。
出現這種情況時,易受攻擊的OpenSSH伺服器會以兩種截然不同的方式作出反應。如果畸形的身份驗證請求中包含的用戶名不存在,伺服器以身份驗證失敗回復作出響應。如果用戶確實存在,伺服器則在沒有回復的情況下關閉連接。
這個小小的行為細節讓攻擊者得以猜出SSH伺服器上註冊的有效用戶名。知道確切的用戶名可能不會馬上構成危險,但會將該用戶名暴露在蠻力攻擊或字典攻擊的面前,而這種攻擊也會猜測密碼。
由於安裝OpenSSH的用戶群非常龐大,該漏洞不僅適用於攻擊高價值目標,還適用於大規模利用漏洞的場景。
漏洞上周有了補丁,PoC代碼已發布
這個名為CVE-2018-15473-的漏洞已經在OpenSSH的穩定版:1:6.7p1-1和1:7.7p1-1以及1:7.7p1-4不穩定分支版中打上補丁。補丁還逐漸部署到了Debian,很可能逐漸部署到其他Linux發行版。
用於測試伺服器是否易受攻擊(或用於攻擊服務,這取決於你站在哪一個陣營)的概念證明(PoC)代碼在多個地方均有提供。
NVISO Labs的迪迪爾?斯蒂文斯(Didier Stevens)發布了測試伺服器有無該漏洞的逐步教程(https://blog.nviso.be/2018/08/21/openssh-user-enumeration-vulnerability-a-close-look/)。該博文還包含關於日誌記錄OpenSSH事件的信息,這些事件可能會暴露有人企圖在易受攻擊的伺服器上鑽這個漏洞的空子。
還有應對措施
因種種原因而無法安裝補丁的系統管理員可以採取各種應對措施,比如禁用OpenSSH身份驗證,使用另外的方式登錄到遠程設備。
如果這行不通,OpenSSH客戶軟體又是連接設備的唯一方法,那麼系統管理員可以禁用OpenSSH的「公鑰身份驗證」方法,易受攻擊的代碼就駐留在其中。
這意味著系統管理員將無法使用OpenSSH身份驗證密鑰,每次通過OpenSSH登錄到設備時都必須輸入用戶名和密碼。
※阿里雲因 bug 禁用內部 IP 導致鏈路不通,造成大規模故障
※SUSE被25 億美元「賣掉了」
TAG:雲頭條 |