SSH server zero-day exploit - Saran untuk melindungi diri kita sendiri

13

Menurut Internet Storm Center , tampaknya ada eksploitasi SSH zero-day di luar sana.

Ada beberapa bukti kode konsep di sini dan beberapa referensi:

Ini tampaknya menjadi masalah serius, jadi setiap administrator sistem Linux / Unix harus berhati-hati.

Bagaimana kita melindungi diri kita sendiri jika masalah ini tidak diperbaiki tepat waktu? Atau bagaimana Anda menangani eksploitasi nol hari secara umum?

* Saya akan mengirim saran saya di balasan.

linux security ssh hacking exploit sucuri
sumber
Seberapa nyata ini? Sedikit googletrolling muncul seclists.org/fulldisclosure/2009/Jul/0028.html sebagai sumber paling asli dari rumor ini. Adakah yang memiliki verifikasi independen tentang ini?
chris
Banyak komentar bagus tentang Hacker News tentang masalah ini: news.ycombinator.com/item?id=692036
sucuri

Jawaban:

6

Komentar dari Damien Miller (pengembang OpenSSH): http://lwn.net/Articles/340483/

Secara khusus, saya menghabiskan beberapa waktu menganalisis jejak paket yang dia berikan, tetapi tampaknya terdiri dari serangan brute-force sederhana.

Jadi, saya tidak mengejar bahwa 0day ada sama sekali. Satu-satunya bukti sejauh ini adalah beberapa rumor anonim dan transkrip intrusi yang tidak dapat diverifikasi.

arah x
sumber
Saya pikir kita dapat mengambil kata-katanya untuk saat ini ...
sucuri
11

Saran saya adalah untuk memblokir akses SSH pada firewall ke semua orang selain ip Anda. Di iptables:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
sucuri
sumber
5

Menurut posting SANS, exploit ini does not work against current versions of SSH, dan karenanya bukan 0day. Patch server Anda, dan Anda harus baik-baik saja.

Dentrasi
sumber
2
secara teknis ini adalah eksploitasi 0 hari (tidak dipublikasikan dan tidak diketahui) tetapi itu hanya berfungsi pada versi SSH yang lebih lama. Namun, versi default di RHEL, Fedora rentan (sesuai dengan posting kedua). Jadi, ini adalah masalah besar jika tidak ada patch dari distribusi Anda (kecuali jika Anda menggunakan ssh dari sumber yang tidak umum) ...
Sucuri
1
Mereka berspekulasi bahwa berdasarkan log serangan. Tidak ada yang tahu pasti ... Bahkan versi terbaru mungkin rentan
sucuri
3

Keluhkan kepada vendor Anda

Dengan begitu semua orang mendapatkan versi yang lebih baru.

Brad Gilbert
sumber
3

FYI, sumber asli cerita: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

Ada juga dua kisah serupa (peretasan astalavista.com dan situs lain): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

Sepertinya seseorang memiliki agenda: romeo.copyandpaste.info/ ("Keep private 0days")

arah x
sumber
Sepakat. Kelompok di balik log asli yang memulai ini memiliki pernyataan misi untuk mengacaukan "industri keamanan" - dan cara apa yang lebih baik untuk melakukan itu daripada membuat semua orang gempar tentang "omg! Openssh 0day ?! Bagaimana saya menemukannya / hentikan itu / retas dengan itu? "
cji
Ini bukan pertama kalinya rumor dan hype seperti itu ternyata juga salah.
Dan Carley
2

Saya mengkompilasi SSH untuk menggunakan tcprules, dan memiliki sejumlah kecil aturan allow, menolak semua yang lain.

Ini juga memastikan bahwa upaya kata sandi hampir dihilangkan, dan bahwa ketika saya dikirim laporan tentang upaya breakin, saya dapat menganggapnya serius.

Ernie
sumber
2

Saya tidak menjalankan ssh pada port 22. Karena saya sering masuk dari mesin yang berbeda, saya tidak suka mencegah akses melalui iptables .

Ini adalah perlindungan yang baik terhadap serangan zero-day - yang pasti akan terjadi setelah konfigurasi default. Ini kurang efektif terhadap seseorang yang hanya mencoba kompromi dengan server saya. Pemindaian port akan menunjukkan port tempat saya menjalankan ssh, tetapi skrip yang menyerang port SSH acak akan melewati host saya.

Untuk mengubah port Anda, cukup tambahkan / modifikasi Port di file / etc / ssh / sshd_config Anda .

brianegge
sumber
Menjalankan SSH pada port non-standar tampaknya mengurangi jumlah serangan brute-force yang dikenakan, dan mungkin akan melindungi Anda dari sebagian besar worm. Ini bukan pertahanan terhadap seseorang yang memindai hal-hal secara manual, dan worm mungkin di masa depan hanya memindai port setiap port mencari ssh (yang mudah, hanya memakan waktu)
MarkR
@MarkR: Ini mungkin tidak menghentikan 'cracker / kiddie / hacker' yang sudah ditentukan tetapi itu akan membuat bot terhindar sampai perbaikan dilepaskan. Itu imho yang paling penting.
Andrioid
2

Saya akan firewall dan menunggu. Naluri saya adalah satu dari dua hal:

A> tipuan. Dengan sedikit dan kehilangan informasi yang diberikan sejauh ini, apakah ini ...

atau...

B> Ini upaya "asap dan penipuan", untuk menimbulkan keprihatinan atas 4.3. Mengapa? Bagaimana jika Anda, beberapa organisasi peretas, menemukan exploit zero-day yang sangat keren di sshd 5.2.

Sayang sekali hanya rilis canggih (Fedora) memasukkan versi ini. Tidak ada entitas substansial yang menggunakan ini dalam produksi. Banyak menggunakan RHEL / CentOS. Target besar. Ini backport RHEL / CentOS yang terkenal semua perbaikan keamanan mereka untuk mempertahankan semacam kontrol versi dasar. Tim-tim di belakang ini tidak boleh bersin. RHEL telah memposting (saya membaca, harus menggali tautannya) bahwa mereka telah menghabiskan semua upaya untuk menemukan kekurangan pada 4.3. Kata-kata tidak bisa dianggap enteng.

Jadi, kembali ke ide. Seorang hacker memutuskan untuk entah bagaimana menyebabkan keributan sekitar 4.3, menyebabkan histeria massal untuk UG menjadi 5.2p1. Saya bertanya: sudah berapa banyak dari Anda?

Untuk membuat beberapa "bukti" untuk kesalahan arah, semua "kata grup" harus lakukan sekarang adalah mengambil alih beberapa sistem yang sebelumnya dikompromikan ( WHMCS ? SSH Sebelumnya?), Membuat beberapa log dengan beberapa kebenaran setengah (serangan-ee diverifikasi "sesuatu" terjadi, namun beberapa hal tidak dapat diverifikasi oleh target) berharap seseorang akan "menggigit". Yang diperlukan hanyalah satu entitas yang lebih besar untuk melakukan sesuatu yang drastis (... HostGator ...) untuk membuatnya sedikit lebih serius, di tengah-tengah kecemasan dan kebingungan yang tumbuh.

Banyak entitas besar mungkin backport, tetapi beberapa mungkin hanya meningkatkan. Mereka yang meningkatkan, sekarang terbuka untuk serangan zero-day nyata tanpa pengungkapan sampai saat ini.

Saya telah melihat hal-hal aneh terjadi. Seperti, sekelompok selebriti sekarat berturut-turut ...

Peter Mortensen
sumber
0

Beralih ke Telnet? :)

Bercanda selain, jika firewall Anda sudah terkonfigurasi dengan benar, itu hanya memungkinkan akses SSH ke beberapa host. Jadi kamu aman.

Perbaikan cepat mungkin dengan menginstal SSH dari sumber (mengunduhnya dari openssh.org), alih-alih menggunakan versi lama yang ada pada distribusi Linux terbaru.

sucuri
sumber
Telnet kerberized sebenarnya cukup aman. Yang menyenangkan tentang kerberos adalah Anda dapat mencabut kunci secara terpusat jika Anda mau, tidak seperti ssh di mana Anda harus mengunjungi setiap host dan menghapus kunci dari setiap file berwenang_keys.
chris