The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

29.08.2018 20:56  Ещё одна уязвимость в OpenSSH, позволяющая определить наличие пользователей

Спустя менее недели с момента обнаружения прошлой проблемы в OpenSSH, позволявшей удалённо определить существует ли пользователь с данным именем в системе, выявлена ещё одна аналогичная уязвимость (CVE-2018-15919). Проблема присутствует с 2011 года и проявляется в том числе в несколько дней назад опубликованном выпуске OpenSSH 7.8.

Предложенный метод основан на различном поведении кода аутентификации на базе API GSS2 для существующих и не существующих пользователей. В частности, если пользователь не существует, то повторяющиеся попытки аутентификации приводят к обрыву соединения с возвратом ошибки "Too many authentication failures". Для существующих пользователей подобная ошибка не выводится.

Дополнительно можно отметить выявление возможности определения существования пользователя в SSH-сервере Dropbear, который часто применяется на встраиваемых устройствах и домашних маршрутизаторах. Выявленная в Dropbear уязвимость (CVE-2018-15599) повторяет прошлую проблему в OpenSSH (эксплоит для OpenSSH работает для Dropbear).

  1. Главная ссылка к новости (http://openwall.com/lists/oss-...)
  2. OpenNews: Релиз OpenSSH 7.8
  3. OpenNews: Уязвимость в OpenSSH, позволяющая определить наличие пользователей
  4. OpenNews: В OpenSSH устранена критическая уязвимость
  5. OpenNews: Уязвимость, позволяющая обойти защиту от BruteForce-атак в OpenSSH
  6. OpenNews: Обход защиты OpenSSH, препятствующей определению наличия пользователя
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: openssh
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, gred (ok), 21:42, 29/08/2018 [ответить] [показать ветку] [···]    [к модератору]
  • +3 +/
    ну узнали они что есть допустим root. и что дальше-то???
     
     
  • 2.2, Hgtuugt (?), 21:49, 29/08/2018 [^] [ответить]    [к модератору]
  • +10 +/
    Ни байта врагу!
     
  • 2.3, Китайский ботнет (?), 21:51, 29/08/2018 [^] [ответить]    [к модератору]
  • +3 +/
    И подбираем твой ключ несколько миллиардов лет чтобы после взлома включить тебя в единую сеть.
     
     
  • 3.6, Американский ботнет (?), 22:00, 29/08/2018 [^] [ответить]    [к модератору]
  • +8 +/
    Ваш ботнет отстой! Вот у нас каждый подключён к нашему ботнету через Android, Apple и Windows 10.
     
  • 2.4, Аноним (4), 21:52, 29/08/2018 [^] [ответить]     [к модератору]
  • +2 +/
    Мб некоторые ставят слабый пароль на обычного юзера в расчёте на то, что 1 атак... весь текст скрыт [показать]
     
     
  • 3.41, x3who (?), 15:22, 30/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    В любом случае, угадать логин и пароль значительно сложнее чем перебрать логины ... весь текст скрыт [показать]
     
  • 2.13, Аноним (-), 22:50, 29/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Дальше удовлетворятся этим знанием и распилял бабла)
     
  • 2.17, Анонимусис (?), 23:54, 29/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    Рубежи обороны

    "... а еще они узнали что в системе Х есть юзер с тем же именем что и в системе У, и попробовав пароль из системы У, смогли войти в систему Х"

     
     
  • 3.25, Волжанин (?), 06:35, 30/08/2018 [^] [ответить]     [к модератору]  
  • +1 +/
    А ещё, зная пароль пользователя в системе Y, можно сразу попытаться войти в сист... весь текст скрыт [показать]
     
     
  • 4.33, Урри (?), 11:57, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Что лучше - подбирать по словарю существующего пользователя, или вероятно не существующего?
     
  • 2.18, pavard (ok), 00:37, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    дальше пробуются пароли для аналогичного ника, утекшие через какой-нибудь форум.
     
     
  • 3.19, Сигизмунд Точка (?), 00:54, 30/08/2018 [^] [ответить]    [к модератору]  
  • +3 +/
    > ssh
    > пароли

    ССЗБ.
    У всех у кого не рвота вместо мозга - либо ключи, либо сертификаты с своим PKI.

     
     
  • 4.23, pavard (ok), 01:32, 30/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    почти никто не отклчючает аутентификацию по паролю, разместив свой ключ на машин... весь текст скрыт [показать]
     
     
  • 5.24, angra (ok), 03:50, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Для того чтобы отключить что-нибудь ненужное, надо сначала включить это ненужное. Зачем устанавливать юзеру пароль, если можно сразу поставить публичный ключ?
     
  • 4.34, metakeks (?), 12:30, 30/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    Тоже есть обратная сторона. Ключ так же можно угнать. А на 100 серверов 100 ключей запароленных держать - это мало кто возьмётся.
     
     
  • 5.37, pavard (ok), 13:54, 30/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    ты похоже не пользуешься ключами( не понимаешь как они работают ).
     
     
  • 6.40, Аноним (40), 14:55, 30/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    А как они работают?
     
     
  • 7.42, x3who (?), 15:27, 30/08/2018 [^] [ответить]     [к модератору]  
  • –2 +/
    Они лежат на диске клиентского компа и поэтому могут оказаться недоступны в крит... весь текст скрыт [показать]
     
     
  • 8.44, Аноним (44), 15:33, 30/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Ох, малыш Про то, что можно иметь несколько ключей в разных местах хранящихся т... весь текст скрыт [показать]
     
     
  • 9.48, AS (??), 16:17, 30/08/2018 [^] [ответить]     [к модератору]  
  • +/
    а мой старый ноут как раз 11 лет проработал и сдох HDD а флешку с ключами запас... весь текст скрыт [показать]
     
  • 8.46, pavard (ok), 15:44, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    если ты мог подключиться с утюга - значит на нем есть копия приватного ключа, на случай если у тебя сдох комп. вот с него и заходи, с него и восстанавливай приватный ключ.
     
     
  • 9.47, x3who (?), 16:01, 30/08/2018 [^] [ответить]     [к модератору]  
  • +/
    С утюга - значит любого устройства, подключенного к сети и имеющего экран и клав... весь текст скрыт [показать]
     
  • 9.49, Аноним (44), 18:52, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    За копию приватного ключа нужно бить по роже. На каждом девайсе должен быть свой ключ чья публичная часть должна быть на сервере.
     
  • 8.51, cutlass (?), 07:11, 31/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Всё верно сказал. Я как-то почти наступил на эти грабли и осознав последствия хожу по случайному паролю из 20 символов.
    Ключ удобен если скрипту надо лазить на другой хост периодически.
     
  • 2.32, ЖопорукийТорвальдс (?), 11:02, 30/08/2018 [^] [ответить]     [к модератору]  
  • +/
    А то что брут форсу теперь легче логин подобрать Шаг 1 Проверяем наличие Лузе... весь текст скрыт [показать]
     
  • 1.5, Аноним (-), 21:54, 29/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Чото странное в новости, у меня все новые sshd всегда  ругаются на too many даже при наличии пользователя
     
     
  • 2.16, asand3r (ok), 23:43, 29/08/2018 [^] [ответить]    [к модератору]  
  • +/
    У вас просто версия выпущенная до 2011 года.
     
  • 1.7, Аноним (7), 22:10, 29/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Ну так весь фикс в том, чтобы система обрубала соединение при множестве ошибках аутентификации при любом раскладе, есть такой пользователь или нет.
     
     
  • 2.14, Аноним (-), 22:52, 29/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Спасибо за толковый совет!
     
  • 1.8, Аноним (8), 22:19, 29/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Извиняюсь за оффтоп, но может быть кто-нибудь знает, можно ли на манке настроить возможность подключения по ссш когда пользователь не залогинен графически?
     
     
  • 2.10, Аноним (10), 22:41, 29/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Можно. Я настроил.
     
  • 1.9, Китайский кулхацкер (?), 22:35, 29/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Я уже разогреваю masscan и hydra, лаовай.
     
     
  • 2.11, Аноним (10), 22:43, 29/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Хорошо у всех машин на облачном хостинге есть пользователь root с паролем из 32 символов.
    Дальше что?
     
     
  • 3.20, Сигизмунд Точка (?), 00:58, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Есть пользователь root с passwd -l. и PermitRootLogin  no. И еще по 30-50 пользователей с такими же параметрами. Удачи в переборе.
     
  • 1.12, Аноним (-), 22:49, 29/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +13 +/
    Не люблю когда меня определяют. Я сам решаю, определяться или нет, а вот когда майор влезает и начинает чего-то определять за меня, шпионством заниматься, то это такое...
     
     
  • 2.43, x3who (?), 15:32, 30/08/2018 [^] [ответить]     [к модератору]  
  • +/
    Ну ты хватил Ещё товарища генерал-майора бы вписал В современном мире это зада... весь текст скрыт [показать]
     
  • 1.15, PereresusNeVlezaetBuggy (ok), 22:54, 29/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +5 +/
    На всякий случай: очень, очень мало существует ПО, которое аналогично SSH реально пытается противодействовать атакам на определение факта существования пользователя (то есть не просто возвращают одинаковое «access denied», а нивелируют как минимум тайминг-атаки). Так что если это считать реальной уязвимостью, то что тогда делать с 99% других сервисов, позволяющих получить аналогичную информацию ровно такими же методами?
     
     
  • 2.21, Сигизмунд Точка (?), 01:01, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Это считается просто раскрытием информации но никак не критической уязвимостью. В oss-security уже обсосали. Весь шум подняли параноики не разобравшись в вопросе. В том же Apache таких дырок по 30 штук в год находят и всем (ну почти) нет до них дела.
     
     
  • 3.27, Ленивый Перерезус (?), 09:21, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Это считается просто раскрытием информации но никак не критической уязвимостью. В oss-security
    > уже обсосали. Весь шум подняли параноики не разобравшись в вопросе. В
    > том же Apache таких дырок по 30 штук в год находят
    > и всем (ну почти) нет до них дела.

    Истинно так.

     
  • 1.22, Сигизмунд Точка (?), 01:05, 30/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Специально для параноиков:
    Crazy workaround - создать пару десятков тысяч пользователей с disabled login.
    Ну и классику в виде изменения id 0 на foobar/toor/doom. никто не отменял.
     
     
  • 2.26, lone_wolf (ok), 09:07, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    > Crazy workaround - создать пару десятков тысяч пользователей с disabled login.

    Это вы имеете виду установить shell для юзера в /sbin/noligin ???

    > Ну и классику в виде изменения id 0 на foobar/toor/doom. никто не отменял.

    А вот это как реализовать подскажите пожалуйста?

     
  • 2.28, Нанобот (ok), 09:23, 30/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    для параноиков не катит - они будут бояться, что какой-то из этих тысяч пользователей сможет залогиниться, несмотря на запрет
     
  • 2.38, metakeks (?), 14:00, 30/08/2018 [^] [ответить]    [к модератору]  
  • –1 +/
    У докеристов кровь из глаз не пошла? :)
     
  • 1.29, Аноним (29), 09:24, 30/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Уязвимость конечно нужно исправлять.
    Но и Fail2Ban уже "изобрели"
     
     
  • 2.45, x3who (?), 15:36, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    >     Fail2Ban уже "изобрели"

    Не в опенврт, например.

     
  • 1.30, lone_wolf (ok), 09:41, 30/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Самое обидное что в CentOS до сих пор не бекпортировали исправления из версии 7.8, для предыдущей уязвимости. Хотя о чем это я в Fedora 7.8 есче пока в тестовом репозитории.
     
     
  • 2.31, Andrey Mitrofanov (?), 09:47, 30/08/2018 [^] [ответить]     [к модератору]  
  • –3 +/
    Ты хотел сказать, обидно, что редхет не выпустил следующий пойнт-релиз рхела, не... весь текст скрыт [показать]
     
     
  • 3.35, lone_wolf (ok), 12:41, 30/08/2018 [^] [ответить]    [к модератору]  
  • +/
    Причем тут новый релиз к накладыванию патчей? Если бы я сказал про новые фичи да тут бы был уместен ваш сарказм, и т.д.
    И опять же когда intel выпустил новый микрокод RHEL быстро выкатил обновленное ядро, вас это не смущает? А когда была найдена уязвимость в openssh и разрабы выпустили свежую версию с исправлением, RHEL должен по вашей логике сидеть и ждать с моря погоды, вот про новые фичи и т.д я согласен их надо проверить обкатать а уже потом выкатывать в стабильную ветку.
     
     
  • 4.36, Andrey Mitrofanov (?), 12:58, 30/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    > Причем тут новый релиз к накладыванию патчей? Если бы я сказал про
    > новые фичи да тут бы был уместен ваш сарказм, и т.д.
    > И опять же когда intel выпустил новый микрокод RHEL быстро выкатил обновленное
    > ядро, вас это не смущает?

    Ты ж  про центос там выше "скучал"?  Мне казалось, что они из исходников всё пересобирают, а рхел исходники не сразу даёт.  Я о них "плохо подумал"?

    > openssh и разрабы выпустили свежую версию с исправлением, RHEL должен по
    > вашей логике сидеть и ждать с моря погоды,

    Не rhel. а cantos твой.   Так именно и делает, нет?

    > фичи и т.д я согласен их надо проверить обкатать а уже
    > потом выкатывать в стабильную ветку.

    Федору не приплетай.  Сказал "центос" -- полезай в кузовок.

     
     
  • 5.39, lone_wolf (ok), 14:02, 30/08/2018 [^] [ответить]     [к модератору]  
  • –1 +/
    Совершенно верно про CentOS, и да из исходников, и да не сразу CentOS реально о... весь текст скрыт [показать]
     
  • 1.50, Аноним (50), 04:32, 31/08/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Что плохого в подключении по паролю к root с 60-значным паролем? Например 82wH7BSVF5oEhVF8c9RvN7Gll2ycFZIorygBsmoSIfYclPTSLHqwmGoq8tPC
    Это намного хуже подключения по ключу?
     
     
  • 2.52, Аноним (-), 10:01, 31/08/2018 [^] [ответить]    [к модератору]  
  • +1 +/
    да
     
     
  • 3.53, Аноним (50), 11:13, 31/08/2018 [^] [ответить]    [к модератору]  
  • –2 +/
    Так что плохого-то? Кто сможет перебрать длюннющий пароль, тем более при включенном fail2ban?
     
     
  • 4.54, nox (??), 13:53, 03/09/2018 [^] [ответить]    [к модератору]  
  • +/
    Его не нужно перебирать, если у тебя на лэптопе завёлся кейлоггер или еще какая гадость. Конечно троян и ключ может увести, но поменять/ревокнуть ключ на 1000 серверов много проще, чем тоже самое с паролем (они же уникальные должны быть)
     
     
  • 5.57, 1 (??), 16:50, 05/09/2018 [^] [ответить]    [к модератору]  
  • +/
    >Конечно троян и ключ может увести

    С железного ключа (например, Yubikey) - не сможет.

     
  • 1.55, Аноним (55), 18:25, 03/09/2018 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Воспользовался уязвимостью в OpenSSH и с уверенностью могу сказать пользователи существуют ;)
     
     
  • 2.56, Andrey Mitrofanov (?), 11:00, 04/09/2018 [^] [ответить]    [к модератору]  
  • +/
    >пользователи существуют
    > ;)

    Тс-с-с!  Не пали главную Уязвимость.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor