Már egy hete megjelent a bejegyzés, de a szaksajtó csak most figyelt fel rá: egy biztonsági kutató posztjában azt írja, hogy a linuxos környezetben népszerű OpenSSH szoftver(család)ban egy olyan egyszerű hiba található, melyet kihasználva a támadó a mai lehetőségekkel élve viszonylag gyorsan megfejtheti a számára szükséges jelszavakat, mivel a próbálkozások száma nincs a megfelelő módon korlátozva, így a „brute force” támadások ellen nincs védve a rendszer.
A hiba komolyságát jelzi, hogy július 19-én a magyar CERT is kiadott egy figyelmeztetést, mely szerint OpenSSH keyboard-interactive hitelesítési sérülékenysége vált ismertté, amelyet kihasználva a támadók a MaxAuthTries érték megkerülésével brute force támadást hajthatnak végre. Az OpenSSH alapértelmezés szerint 6 sikertelen hitelesítési próbálkozás után zárja le a kapcsolatot (az SSH kliens alapértelmezése 3). A sérülékenység kihasználásával a támadó kérheti, hogy annyi jelszópromptot kapjon, amennyi a „login graced time” beállítás idejébe belefér, és ez az alapértelmezés szerint 2 perc.
Különösen a FreeBSD rendszerek érintettek, mert ott a „keyboard-interactive” hitelesítési mód engedélyezett alapértelmezés szerint.
Ha a támadó 10 ezer „keyboard-interactive” eszközt kér, az OpenSHH készségesen eleget tesz a kérésnek, mindaddig, amíg a fent említett időkorlát le nem telik.
A sebezhetőség feltárója egy igen egyszerű minta exploitot is elkészített:
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
A sebezhetőség feltárója a javítás megjelenéséig védekezésként a következőket ajánlja a rendszergazdáknak:
- a titkosítási kulcspár legalább 2048 bites legyen
- erős jelszó használata a privát kulcs megvédéséhez
- a rendelkezésre álló időt (grace time) 20-30 másodpercre kell csökkenteni
- a Fail2Ban vagy a Pam-Shield használata a sikertelen próbálkozások limitálásához