Máy chủ SSH khai thác 0 ngày - Gợi ý bảo vệ chính chúng ta

Theo Trung tâm Bão Internet , dường như có một khai thác không ngày SSH ngoài kia.

Có một số bằng chứng về mã khái niệm ở đây và một số tài liệu tham khảo:

• http://secer.org/hacktools/0day-openssh-remote-Exloit.html
• http://isc.sans.org/diary.html?storyid=6742

Đây có vẻ là một vấn đề nghiêm trọng, vì vậy mọi quản trị viên hệ thống Linux / Unix nên cẩn thận.

Làm thế nào để chúng ta bảo vệ chính mình nếu vấn đề này không được vá kịp thời? Hoặc làm thế nào để bạn xử lý khai thác zero-day nói chung?

* Tôi sẽ gửi đề nghị của tôi trong các câu trả lời.

Nhận xét từ Damien Miller (nhà phát triển OpenSSH): http://lwn.net/Articles/340483/

Cụ thể, tôi đã dành một chút thời gian để phân tích một dấu vết gói mà anh ta cung cấp, nhưng dường như nó bao gồm các cuộc tấn công vũ phu đơn giản.

Vì vậy, tôi không theo đuổi rằng 0day tồn tại cả. Bằng chứng duy nhất cho đến nay là một số tin đồn ẩn danh và bảng điểm xâm nhập không thể kiểm chứng.

Đề nghị của tôi là chặn truy cập SSH trên tường lửa cho mọi người khác ngoài ip của bạn. Trên iptables:

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

Theo bài đăng Sans, khai thác này does not work against current versions of SSH, và do đó không thực sự là 0 ngày. Vá máy chủ của bạn, và bạn sẽ ổn thôi.

Khiếu nại với các nhà cung cấp của bạn

Bằng cách đó, mọi người đều có phiên bản mới hơn.

FYI, nguồn gốc của câu chuyện: http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

Ngoài ra còn có hai câu chuyện tương tự (hack astalavista.com và một trang web khác): romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

Có vẻ như ai đó có một chương trình nghị sự: romeo.copyandpaste.info/ ("Giữ 0 ngày riêng tư")

Tôi biên dịch SSH để sử dụng tcprules và có một số lượng nhỏ các quy tắc cho phép, từ chối tất cả các quy tắc khác.

Điều này cũng đảm bảo rằng các lần thử mật khẩu gần như bị loại bỏ và khi tôi được gửi báo cáo về các lần thử breakin, tôi có thể thực hiện chúng một cách nghiêm túc.

Tôi không chạy ssh trên cổng 22. Vì tôi thường đăng nhập từ các máy khác nhau, tôi không muốn ngăn truy cập qua iptables .

Đây là sự bảo vệ tốt chống lại các cuộc tấn công zero-day - chắc chắn sẽ đi sau cấu hình mặc định. Nó kém hiệu quả đối với người đang cố gắng thỏa hiệp với máy chủ của tôi. Quét cổng sẽ hiển thị cổng nào tôi đang chạy ssh, nhưng tập lệnh tấn công các cổng SSH ngẫu nhiên sẽ bỏ qua máy chủ của tôi.

Để thay đổi cổng của bạn, chỉ cần thêm / sửa đổi Cổng trong tệp / etc / ssh / sshd_config .

Tôi sẽ tường lửa và chờ đợi. Bản năng ruột của tôi là một trong hai điều:

A> Chơi khăm. Bởi rất ít thông tin bị bỏ lỡ cho đến nay, đây là ..

hoặc là...

B> Đây là một nỗ lực "hút thuốc và lừa dối", để gây lo ngại hơn 4.3. Tại sao? Điều gì sẽ xảy ra nếu bạn, một số tổ chức tin tặc, tìm thấy một khai thác zero-day thực sự tuyệt vời trong sshd 5.2.

Quá tệ chỉ phát hành tiên tiến (Fedora) kết hợp phiên bản này. Không có thực thể đáng kể sử dụng điều này trong sản xuất. Sử dụng nhiều RHEL / CentOS. Mục tiêu lớn. Nó nổi tiếng là backport RHEL / CentOS tất cả các bản sửa lỗi bảo mật của họ để giữ lại một số loại kiểm soát phiên bản cơ bản. Các đội đằng sau này không được hắt hơi vào. RHEL đã đăng (tôi đọc, sẽ phải khai thác liên kết) rằng họ đã cạn kiệt mọi nỗ lực để tìm bất kỳ lỗ hổng nào trong 4.3. Từ để không được xem nhẹ.

Vì vậy, trở lại ý tưởng. Một tin tặc quyết định bằng cách nào đó gây ra sự khuấy động khoảng 4.3, gây ra sự cuồng loạn hàng loạt cho UG đến 5,2p1. Tôi hỏi: bạn đã có bao nhiêu người rồi?

Để tạo ra một số "bằng chứng" cho việc chuyển hướng sai, tất cả "nhóm đã nói" sẽ phải làm bây giờ là chiếm lấy một số hệ thống bị xâm nhập trước đó ( WHMCS ? SSH trước?), Tạo một số nhật ký với một số sự thật nửa vời (tấn công-ee đã xác minh "một cái gì đó" đã xảy ra, nhưng một số điều không thể kiểm chứng bởi mục tiêu) hy vọng ai đó sẽ "cắn". Tất cả chỉ cần một thực thể lớn hơn để làm một cái gì đó quyết liệt (... HostGator ...) để làm cho nó nghiêm trọng hơn một chút, giữa sự lo lắng và bối rối ngày càng tăng.

Nhiều thực thể lớn có thể backport, nhưng một số có thể chỉ cần nâng cấp. Những người nâng cấp, hiện đang mở cho cuộc tấn công zero-day thực sự mà chưa có tiết lộ nào.

Tôi đã thấy những điều kỳ lạ xảy ra. Giống như, một loạt những người nổi tiếng chết liên tiếp ...

Chuyển sang Telnet? :)

Đùa qua một bên, nếu bạn có cấu hình tường lửa của mình, nó chỉ cho phép truy cập SSH vào một vài máy chủ. Vì vậy, bạn được an toàn.

Cách khắc phục nhanh có thể là cài đặt SSH từ nguồn (tải xuống từ openssh.org), thay vì sử dụng các phiên bản cũ có trên các bản phân phối Linux mới nhất.