Исследователь, скрывающийся под ником KingCope, сообщил в своем блоге об обнаружении серьезной уязвимости в OpenSSH. Баг позволяет отключить систему ограничения интенсивности запросов на аутентификацию в OpenSSH, что открывает злоумышленникам широкие возможности для проведения брутфорс-атак.
KingCope пишет, что по умолчанию OpenSSH имеет лимит в шесть попыток аутентификации, после чего закрывает соединение. Однако данный лимит может быть расширен до бесконечности, при помощи обнаруженной исследователем уязвимости, которой присвоен идентификатор CVE-2015-5600. При желании, хакеры могут пытаться ввести пароль хоть 10 000 раз, их ограничивает только таймаут на вход в систему, по умолчанию составляющий две минуты.
«Критичность проблемы заключается в том, что если атакующий задействует 10 000 keyboard-interactive устройств, OpenSSH с радостью исполнит эти запросы и войдет в луп по приему паролей», — пишет KingCope. Простейший способ эксплуатировать баг, выполнить команду:
Ключ к проблеме кроется в KbdInteractiveDevices, симулирующей подключение тысяч клавиатур одновременно. То есть метод исследователя будет работать на серверах, где включен метод интерактивной аутентификации (KbdInteractiveAuthentication), что не такая уж редкость. Особенно неприятно то, что данный режим включен по умолчанию для FreeBSD 10.1 и ниже.
Патч для уязвимости уже написан и крайне рекомендован к установке. Скачать его пока можно только вручную, официальное обновление OpenSSH выйдет в ближайшие несколько недель.
Фото: 49889874@N05@flickr
