Gevaarlijke beveiligingsfout Waarschijnlijk slechts een hoax

Eerder deze week ontving SANS een anonieme e-mail waarin hij claimde dat er een zero-day-kwetsbaarheid in OpenSSH is, wat betekent dat een fout in de software al is wordt uitgebuit als het publiek wordt. Het is de meest gevaarlijke vorm van softwarekwetsbaarheid, omdat het betekent dat er nog geen oplossing voor is en de slechteriken hiervan op de hoogte zijn.

[Lees meer: ​​Hoe malware van uw Windows-pc te verwijderen]

Een echte zero-day kwetsbaarheid in OpenSSH zou verwoestend kunnen zijn voor het internet, waardoor hackers carte blanche toegang tot servers en pc's kunnen geven tot een workaround of een patch klaar is.

"Daarom denk ik dat mensen eigenlijk behoorlijk wat paniek creëren," zei Bojan Zdrnja, een SANS-analist en senior informatiebeveiligingsadviseur bij Infigo, een beveiligings- en penetratietestbedrijf in Zagreb, Kroatië. "Mensen moeten nu niet in paniek raken. Niets op dit moment wijst erop dat er een exploit wordt gebruikt in het wild." Het bewijs van een echte zero-day kwetsbaarheid in OpenSSH is zwak, zei Zdrnja. Tot nu toe hebben analisten geen werkende exploit gezien, ondanks de zorgen dat een groep die Anti-Sec heet een zero-day heeft gevonden waardoor ze een webserver konden besturen. Details over de hack zijn gepost op Full Disclosure, een ongemodereerd forum voor beveiligingsinformatie.

Toen hij op meer informatie werd gedrukt, schreef een persoon die claimde deel uit te maken van Anti-Sec een e-mail naar IDG News Service met de mededeling "I ben niet toegestaan ​​om de exploit daadwerkelijk te bespreken (of deze al dan niet bestaat), "die is ondertekend" Anoniem ".

Zdrnja zei dat dezelfde groep onlangs een andere server heeft gecompromitteerd, maar het leek een brute-force aanval te zijn tegen OpenSSH. Een brute-force aanval is waar een hacker vele combinaties van authenticatiereferenties probeert om toegang te krijgen tot een server. Als een beheerder gebruik maakt van eenvoudige logins en wachtwoorden, maakt dit een server kwetsbaarder voor een brute-force aanval, zei Zdrnja.

Beide gecompromitteerde servers werden door dezelfde persoon beheerd. "Ik denk dat het hier om twee hackers in een oorlog tussen henzelf gaat," zei Zdrnja.

Maar er zijn nog andere factoren die erop wijzen dat een zero-day voor OpenSSH niet bestaat. Als de zero-day bestond, zouden hackers waarschijnlijk eerder geneigd zijn om het te gebruiken tegen een meer high-profile server dan de meest recente die is gecompromitteerd, zei een van OpenSSH's ontwikkelaars, Damien Miller, ook koud water. over de mogelijkheid van een zero-day. Miller schreef woensdag op een OpenSSH-forum dat hij e-mails had uitgewisseld met een vermeend slachtoffer van de zero-day, maar de aanvallen leken "simpele brute-force" te zijn.

"Dus ik ben er niet van overtuigd dat een zero-day bestaat überhaupt, "schreef Miller. "Het enige bewijs tot nu toe zijn enkele anonieme geruchten en niet-verifieerbare intrusion transcripties."

Er lijkt ook enige verwarring te bestaan ​​tussen de vermeende zero-day en een andere kwetsbaarheid in OpenSSH, zei Zdrnja. Dat beveiligingslek, dat nog niet is gepatcht, kan een aanvaller in staat stellen om maximaal 32 bits onbewerkte tekst van een willekeurig blok ciphertext te herstellen van een verbinding die is beveiligd met behulp van het SSH-protocol in de standaardconfiguratie, volgens een advies van het VK. Centrum voor de Bescherming van Nationale Infrastructuur (CPNI).

De ernst van de kwetsbaarheid wordt als hoog beschouwd, maar de kans op succesvolle exploitatie is laag, volgens CPNI. Zdrnja zei dat beheerders krachtige authenticatiemechanismen kunnen implementeren in OpenSSH met publieke en private sleutels om te waken tegen een succesvolle aanval. In een advies gaf OpenSSH ook aan dat de mogelijkheid van een succesvolle aanval laag was.