Версии OpenSSH с 2011 года уязвимы для атаки Oracle
OpenSSH по-прежнему уязвим для атак оракулов, и эта проблема затрагивает все версии пакета с сентября 2011 года. Разработчики исправили аналогичную ошибку менее недели назад.
Исследователи безопасности из Qualys обнаружили новую проблему с перечислением имен пользователей в последней версии OpenSSH. Это позволяет злоумышленнику опробовать различные имена пользователей на сервере и определить, какие из них являются действительными. Уязвимость получила номер отслеживания CVE-2018-15919.
Qualys определил проблему так же, как и предыдущий сообщили на прошлой неделе при анализе коммита в исходном коде пакета OpenBSD.
На этот раз проблема заключается в компоненте auth2-gss.c, который по умолчанию активен в Fedora, CentOS и Red Hat Enterprise Linux и, возможно, в других дистрибутивах.
Исследователи Qualys объясняют, что когда пользователь пытается аутентифицироваться, злоумышленник получает один и тот же пакет, независимо от того, действителен пользователь или нет.
«Однако, если пользователь действителен, то устанавливается« server_caused_failure », - говорят исследователи в консультативный добавив, что этого не происходит при предоставлении пользователя, которого нет на сервере.
Они подробно описывают, что число попыток по умолчанию для недопустимого пользователя ограничено шестью, после чего сервер отключает злоумышленника. Если указан действительный пользователь, «злоумышленник может предпринять попытку аутентификации GSSAPI на неопределенный срок». Это оставляет дверь открытой для атак методом перебора пароля.
Чтобы продемонстрировать проблему, они написали код проверки концепции ниже:
diff -pruN openssh-7.8p1 / gss-genr.c openssh-7.8p1-poc / gss-genr.c --- openssh-7.8p1 / gss-genr.c 2018-08-22 22: 41: 42.000000000 -0700 +++ openssh-7.8p1-poc / gss-genr.c 2018-08-22 22: 41: 42.000000000 -0700 @@ -286,6 +286,7 @@ ssh_gssapi_check_mechanism (Gssctxt ** ctx ssh_gssapi_build_ctx (ctx); ssh_gssapi_set_oid (* ctx, oid); + return 1; major = ssh_gssapi_import_name (* ctx, host); if (! GSS_ERROR (major)) {major = ssh_gssapi_init_ctx (* ctx, 0, GSS_C_N & 7NUF) p1 / sshconnect2.c openssh-7.8p1-poc / sshconnect2.c --- openssh-7.8p1 / sshconnect2.c 2018-08-22 22: 41: 42.000000000 -0700 +++ openssh-7.8p1-poc / sshconnect2. с 2018-08-22 22: 41: +42,000000000 -0700 @@ -701,6 +701,7 @@ userauth_gssapi (Authctxt * authctxt) ssh_dispatch_set (SSH, SSH2_MSG_USERAUTH_GSSAPI_TOKEN, & input_gssapi_token); ssh_dispatch_set (SSH, SSH2_MSG_USERAUTH_GSSAPI_ERROR, & input_gssapi_error); ssh_dispatch_set (ssh, SSH2_MSG_USERAUTH_GSSAPI_ERRTOK, & input_gssapi_errtok); + return 1; mech ++; / * Перейти к следующему кандидат * /
Разработчики OpenSSH не считают исправление этой уязвимости приоритетом из-за его низкого уровня серьезности. Причина заключается в том, что «это частичное раскрытие не конфиденциальной информации».
Они говорят, что эта ошибка позволяет «злоумышленнику делать грубые предположения об именах учетных записей и проверять, существуют ли они в целевой системе». Ограничение на шесть попыток еще больше сужает шансы на успех.
Разработчик открытого кода Дэмиен Миллер работает над OpenSSH говорит что системные библиотеки не рассматривают этот тип раскрытия информации как угрозу, поскольку имена пользователей считаются несекретной частью идентификации пользователя, бесполезной для злоумышленника без сопутствующего пароля.
Опытный злоумышленник может извлечь выгоду из этого типа недостатков на этапе разведки, помогая им определить, какие атаки будут более успешными, говорит Джимми Грэм, директор по управлению продуктами в Qualys.
«Конкретные пользователи в системе могут часто отдавать точную операционную систему или дистрибутив, а также сервисы, которые работают в системе, особенно если у них есть имена пользователей по умолчанию для этих сервисов», - сказал Грэм BleepingComputer.
Грэм признает, что атаки оракула не представляют серьезной угрозы, но, тем не менее, их следует рассматривать как проблемы безопасности, поскольку они раскрывают информацию пользователя.