Exploração de dia zero do servidor SSH - Sugestões para nos proteger

13

De acordo com o Centro de tempestades da Internet , parece haver uma exploração de dia zero do SSH por aí.

Há algum código de prova de conceito aqui e alguma referência:

Este parece ser um problema sério, portanto, todo administrador de sistemas Linux / Unix deve ter cuidado.

Como nos protegemos se esse problema não for corrigido no prazo? Ou como você lida com explorações de dia zero em geral?

* Vou postar minha sugestão nas respostas.

    
por sucuri 07.07.2009 / 19:47

9 respostas

6

Comentário de Damien Miller (desenvolvedor do OpenSSH): link

In particular, I spent some time analysing a packet trace that he provided, but it seems to consist of simple brute-force attacks.

So, I'm not pursuaded that an 0day exists at all. The only evidence so far are some anonymous rumours and unverifiable intrusion transcripts.

    
por 08.07.2009 / 22:05
11

Minha sugestão é bloquear o acesso SSH no firewall para todos os outros além do seu ip. No iptables:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP
    
por 07.07.2009 / 19:50
5

De acordo com a postagem do SANS, essa exploração does not work against current versions of SSH e, portanto, não é realmente um 0day. Corrigir seus servidores, e você deve estar bem.

    
por 07.07.2009 / 19:52
3

Reclamar com seus fornecedores

Dessa forma, todos recebem a versão mais recente.

    
por 07.07.2009 / 20:50
3

FYI, a fonte original da história: link

Há também duas histórias semelhantes (hacking astalavista.com e outro site): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

Parece que alguém tem uma agenda: romeo.copyandpaste.info/ ("Mantenha 0days privado")

    
por 08.07.2009 / 21:34
2

Eu compilo o SSH para usar tcprules e tenho um pequeno número de regras de permissão, negando todas as outras.

Isso também garante que as tentativas de senha sejam praticamente eliminadas e que, quando eu recebo relatórios sobre tentativas de invasão, posso levá-las a sério.

    
por 07.07.2009 / 20:00
2

Eu não executo o ssh na porta 22. Como geralmente faço login de máquinas diferentes, não gosto de impedir o acesso via iptables .

Esta é uma boa proteção contra ataques de dia zero - que certamente irão atrás da configuração padrão. É menos eficaz contra alguém que está tentando comprometer apenas o meu servidor. Uma varredura de porta mostrará em qual porta estou executando o ssh, mas um script que ataca portas SSH aleatórias irá ignorar meus hosts.

Para alterar sua porta, simplesmente adicione / modifique a Porta em seu arquivo / etc / ssh / sshd_config .

    
por 08.07.2009 / 08:11
2

Eu faria firewall e esperaria. Meu instinto é uma das duas coisas:

A > Engano. Pelo pouco e falta de informação dada até agora, é ou isso ..

ou ...

B > Esta é uma tentativa de "fumaça e engano", para causar preocupação sobre 4.3. Por quê? E se você, alguma organização de hackers, encontrar um exploit de dia zero muito legal no sshd 5.2.

Pena que apenas versões de ponta (Fedora) incorporam esta versão. Nenhuma entidade substancial usa isso na produção. Muitos usam o RHEL / CentOS. Grandes alvos. É bem conhecido RHEL / CentOS backport todas as suas correções de segurança para manter algum tipo de controle de versão básica. As equipes por trás disso não devem ser desprezadas. RHEL postou (eu li, teria que desenterrar o link) que eles esgotaram todas as tentativas de encontrar qualquer falha no 4.3. Palavras para não ser tomada de ânimo leve.

Então, de volta à ideia. Um hacker decide, de alguma maneira, causar um rebuliço em torno de 4.3, causando uma histeria em massa na UG para 5.2p1. Eu pergunto: quantos de vocês já tem?

Para criar alguma "prova" para o desvio, tudo o que o "grupo disse" teria que fazer agora é assumir algum sistema anteriormente comprometido ( WHMCS Anterior SSH?), crie alguns logs com algumas meias-verdades (ataque-ee verificou que "alguma coisa" aconteceu, mas algumas coisas não podem ser verificadas pelo alvo) esperando que alguém "mordesse". Só é preciso uma entidade maior para fazer algo drástico (... HostGator ...) para torná-lo um pouco mais sério, em meio à crescente ansiedade e confusão.

Muitas entidades grandes podem retroceder, mas algumas podem apenas ser atualizadas. Aqueles que atualizam, agora se abrem para o verdadeiro ataque de dia-zero sem nenhuma divulgação até o momento.

Eu vi coisas estranhas acontecerem. Tipo, um monte de celebridades morrendo todas seguidas ...

    
por 08.07.2009 / 07:15
0

Mude para o Telnet? :)

Brincadeiras à parte, se você tiver seu firewall configurado corretamente, ele já estará permitindo apenas o acesso SSH a alguns hosts. Então você está seguro.

Uma solução rápida pode ser instalar o SSH a partir da fonte (baixando-o do openssh.org), em vez de usar versões antigas que estão presentes nas distribuições mais recentes do Linux.

    
por 07.07.2009 / 20:05