Un bug din OpenSSH expune serverele la atacuri brute-force

022315-detect-malware-1-100569092-primary.idgeUn bug din OpenSSH, cel mai popular software folosit pentru acces securizat de la distanta la sistemele UNIX, ar putea permite atacatorilor sa evite restrictia de a incerca multiple parole de login si sa ghiceasca parola corecta prin atacuri brute-force.

By default, serverele OpenSSH permit sase incercari gresite de autentificare inainte de a inchide o conexiune, iar clientul OpenSSH permite doar trei incercari incorecte.

Cu toate acestea, serverele OpenSSH cu optiunea keyboard-interactive authentication activata, care este setarea default pe multe sisteme, inclusiv pe cele FreeBSD, poate fi manipulata pentru a permite mai multe incercari de autentificare de pe o singura conexiune.

In functie de server si de conexiune, in doua minute s-ar putea face mii de incercari pentru a ghici parolele comune sau slabe, care sunt cuvinte din dictionar.

Se pare ca setarea PasswordAuthentification trecuta pe “no” in configuratia OpenSSH si utilizarea autentificarii cu cheie publica nu impiedica acest tip de atac pentru ca,  keyboard-interactive authentication este un subsistem diferit, care se bazeaza, de asemenea, pe parole.

Prin urmare, utilizatorii ar trebui sa seteze ChallengeResponseAuthentication si KbdInteractiveAuthentication pe “no” in configuratiile lor.

Sursa

Sursa foto