Niebezpieczna luka w zabezpieczeniach Prawdopodobnie tylko fałsz

Według analityka z SANS Internet Storm Center roszczenie o lukę w oprogramowaniu w programie służącym do bezpiecznego łączenia się z serwerami w Internecie jest oszustwem.

Program o nazwie OpenSSH (Secure Shell), jest instalowany na dziesiątkach milionów serwerów stworzonych przez takich dostawców, jak Red Hat, Hewlett-Packard, Apple i IBM. Jest używany przez administratorów do szyfrowania połączeń z innymi komputerami i wykonywania zadań, takich jak zdalne aktualizowanie plików. OpenSSH jest wersją typu open source i istnieją komercyjne wersje tego programu.

Wcześniej w tym tygodniu SANS otrzymał anonimowy e-mail z informacją o luce zero-day w OpenSSH, co oznacza, że ​​luka w oprogramowaniu jest już wykorzystywany, gdy staje się publiczny. Jest to najniebezpieczniejsza luka w oprogramowaniu, ponieważ oznacza to, że nie ma na nią żadnego rozwiązania, a złoczyńcy o niej wiedzą.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Prawdziwa luka w zabezpieczeniach zero-day w OpenSSH może być niszczycielskie dla Internetu, pozwalając hakerom uzyskać dostęp do serwerów i komputerów, dopóki nie zostanie przygotowane obejście lub łata.

"Dlatego uważam, że ludzie faktycznie tworzą trochę paniki", powiedział Bojan Zdrnja, analityk SANS i starszy konsultant ds. Bezpieczeństwa informacji w Infigo, firmie zajmującej się testami bezpieczeństwa i penetracji w Zagrzebiu w Chorwacji. "Ludzie nie powinni teraz wpadać w panikę, nic w tym momencie nie wskazuje na to, że w dziczy jest wykorzystywany exploit".

Dowody na prawdziwą lukę w OpenSSH w dniu wolnym są słabe, powiedział Zdrnja. Do tej pory analitycy nie widzieli działającego exploita pomimo obaw, że grupa o nazwie Anti-Sec mogła znaleźć zero dni, które pozwoliły im kontrolować serwer WWW. Szczegóły dotyczące włamania zostały zamieszczone na stronie Full Disclosure, która jest niemoderowanym forum dla informacji o bezpieczeństwie.

Po naciśnięciu, aby uzyskać więcej szczegółów, osoba zgłaszająca się do Anti-Sec napisała e-mail do IDG News Service, mówiąc: "I "nie wolno mi omawiać exploita (ani tego, czy istnieje)," który został podpisany "Anonimowy".

Zdrnja powiedział, że ta sama grupa ostatnio zaatakowała inny serwer, ale okazało się, że był to brutalny atak przeciwko OpenSSH. Atak brute-force polega na tym, że haker próbuje wielu kombinacji poświadczeń uwierzytelniających, aby uzyskać dostęp do serwera. Jeśli administrator korzysta z prostych logowań i haseł, czyni serwer bardziej podatnym na ataki brute-force, powiedział Zdrnja.

Oba zainfekowane serwery były obsługiwane przez tę samą osobę. "Przypuszczam, że mamy tu do czynienia z dwoma hakerami w wojnie między sobą", powiedział Zdrnja.

Ale są też inne czynniki, które wskazują na to, że OpenSSH nie istnieje. Gdyby istniał dzień zero, hakerzy najprawdopodobniej częściej używaliby go na serwerze o wyższej randze niż najnowszy, który został skompromitowany, powiedział Zdrnja.

Jeden z twórców OpenSSH, Damien Miller, również rzucił zimną wodę o możliwości zerowego dnia. Miller napisał na forum OpenSSH w środę, że wymieniał e-maile z rzekomą ofiarą zero-day, ale ataki wydawały się być "prostą brutalną siłą".

"Więc, nie jestem przekonany, że zero-dzień istnieje w ogóle "- napisał Miller. "Do tej pory jedynymi dowodami były anonimowe plotki i nie dające się zweryfikować transkrypcje intruzów."

Wydaje się również, że istnieje pewna dezorientacja między rzekomym dniem zerowym a inną luką w OpenSSH, powiedział Zdrnja. Ta luka, która nie została jeszcze naprawiona, może pozwolić atakującemu odzyskać do 32 bitów zwykłego tekstu z dowolnego bloku zaszyfrowanego tekstu z połączenia zabezpieczonego przy użyciu protokołu SSH w standardowej konfiguracji, zgodnie z zaleceniem brytyjskiego " s Centrum Ochrony Infrastruktury Narodowej (CPNI).

Nasilenie wrażliwości jest uważane za wysokie, ale szansa na pomyślną eksploatację jest niska, zgodnie z CPNI. Zdrnja powiedział, że administratorzy mogą wdrażać silniejsze mechanizmy uwierzytelniania w OpenSSH przy użyciu kluczy publicznych i prywatnych w celu ochrony przed udanym atakiem. W poradniku OpenSSH stwierdził także, że prawdopodobieństwo skutecznego ataku było niskie.