Эксперты поинформационной безопасности компании Qualys выявили довольно серьезную уязвимость в OpenSSH, позволяющую злоумышленнику угадать логины,зарегистрированные на серверах, использующих эту технологию.

Напомним,OpenSSH представляет собой свободное ПО для удаленногоуправления компьютерами и передачи файлов с использованием протокола SecureShell (SSH).

Самое неприятное,что найденная проблема присутствует во всех версияхклиента OpenSSH, выпущенные за последние два десятилетия. А учитывая степеньраспространенности этой технологии, речь идет о миллиардах устройств интернета вещей и связанных сними серверов.

Баг позволяетпотенциальному злоумышленнику подобрать пользовательское имя для авторизации насервере OpenSSH. Для этого потребуется отправить специально сформированныйзапрос для аутентификации. Сервер можетотреагировать двумя разными способами: если включенный в запрос логин несуществует вообще, он ответит сообщением обошибке, однако если указанное имя пользователясуществует, соединение будет прервано без ответа.

Это позволяетзлоумышленнику угадать действительные логины, зарегистрированные наSSH-сервере. Дальше он может попытаться подобрать пароли с помощьюбрутфорс-атак или перебора по словарю.

Случайная находка

Интересно, что уязвимостьбыла обнаружена случайно фактически уже после ееисправления (тоже случайного): эксперты из Qualys установили, что изменения, внесенные в код OpeneSSH под OpenBSD,устраняют «баг», о существованиикоторого, скорее всего, никто не догадывался.

Уязвимость подиндексом CVE-2018-15473 исправлена в стабильныхверсиях OpenSSH 1:6.7p1-1 и 1:7.7p1-1 инестабильной ветке 1:7.7p1-4. Патчи поступили в дистрибутивы Debian и,вероятно, другие дистрибутивы Linux.

Помимо этого естьцелый ряд промежуточных способов нейтрализовать угрозу — таких, например, как отключениеавторизации OpenSSH или использование альтернативных способов авторизации на удаленных устройствах. Также возможно отключение метода авторизациив OpenSSH с публичным ключом — как раз в этой функции искрывается уязвимость. Это означает, что при каждой попытке залогинитьсяадминистраторам удаленного устройства придется вручную вводить логин и пароль.

В Сети ужеопубликованы экспериментальный эксплойт и рекомендации по тестированию серверовна наличие этой уязвимости и выявлению попыток ееэксплуатации.

«Проблема в том, что между выпуском патчак уязвимости и его установкой может проходить большое количество времени, — говорит Роман Гинятуллин, эксперт по информационной безопасности компанииSEC Consult Services. — Количество уязвимыхустройств велико, в то время как существование PoC-ов резко повышаетвероятность атак. Другое дело, что сами эти атаки едва ли станут массовыми — слишком много времени и усилийприходится тратить на них. К тому же устройства интернета вещей зачастую изобилуют другими уязвимостями,более простыми в эксплуатации».