漏洞影响了上周发布的OpenSSH

自该应用程序于1999年发布以来,漏洞影响了过去二十年中发布的所有OpenSSH客户端版本。

安全漏洞本周收到了一个补丁,但由于OpenSSH客户端嵌入了大量的软件应用程序和硬件设备中,因此修复程序需要数月甚至数年才能进入所有受影响的系统。

在OpenSSH中发现的用户名枚举错误

这种特定的错误被发现了。上周由Qualys公司安全研究人员发现在OpenBSD的OpenSSH的源代码。

在分析了提交后,研究人员意识到代码无意中修复了自创建以来OpenSSH客户端中处于休眠状态的安全漏洞。

此错误允许远程攻击者猜测在OpenSSH服务器上注册的用户名。由于OpenSSH与云托管服务器等一系列技术一起使用,需要物联网设备,因此数十亿设备受到影响。

正如研究人员解释的那样,攻击场景依赖于攻击者试图通过格式错误的身份验证请求(例如,通过截断的数据包)在OpenSSH端点上进行身份验证。

当发生这种情况时,易受攻击的OpenSSH服务器会以两种截然不同的方式作出反应。如果格式错误的身份验证请求中包含的用户名不存在,则服务器将以身份验证失败回复进行响应。如果用户确实存在,则服务器会在没有回复的情况下关闭连接。

这个小的行为细节允许攻击者猜测在SSH服务器上注册的有效用户名。知道确切的用户名可能不会立即造成危险,但它会将该用户名暴露给暴力破解或字典攻击,这些攻击也可以猜测其密码。

由于OpenSSH庞大的安装基础,该漏洞既适用于对高价值目标的攻击,也适用于大规模开发场景。

Bug补丁在上周发布。PoC代码泄露。

作为CVE-2018-15473-的错误已经在OpenSSH -1:6.7p1-1和1:7.7p1-1-以及1:7.7p1-4不稳定分支的稳定版本中进行了修补。补丁也流传到Debian,很可能是其他Linux发行版。

验证的概念代码进行测试,如果服务器是脆弱的(或攻击他们,要看你是什么方面的街垒)已经取得了在不同的地点使用的成果[ 1,2,3 ]。

刚发布了一个针对CVE-2018-15473 OpenSSH用户名枚举的新漏洞!你可以在这里找到它:https: //t.co/EWn4PSyo4F pic.twitter.com/xs7S6eQkG6 - 贾斯汀加德纳(@Rhynorater),2018年8月21日

NVISO Labs的Didier Stevens发布了针对此错误测试服务器的教程。该博客文章还包含有关记录OpenSSH事件的信息,这些事件可能会暴露利用此漏洞攻击易受攻击的服务器的企图。

还有缓解措施

由于各种原因无法安装修补程序的系统管理员可以应用各种缓解措施,例如禁用OpenSSH身份验证和使用其他方法登录远程设备。

如果这不是一个选项,并且OpenSSH客户端是连接设备的唯一方法,那么系统管理员可以禁用OpenSSH的“公钥认证”方法,这是易受攻击的代码所在的方法。

这意味着系统管理员将无法使用OpenSSH身份验证密钥,并且每次通过OpenSSH登录设备时都必须输入用户名和密码。

  • 发表于:
  • 原文链接https://www.bleepingcomputer.com/news/security/vulnerability-affects-all-openssh-versions-released-in-the-past-two-decades/
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券