Farlig säkerhet Fel sannolikt bara en Hoax

En ansökan om en programvarasårbarhet i ett program som används för att ansluta säkert till servrar över Internet är sannolikt ett problem, enligt en analytiker med SANS Internet Storm Center.

Programmet heter OpenSSH (Secure Shell), installeras på tiotals miljoner servrar som tillverkats av leverantörer som Red Hat, Hewlett-Packard, Apple och IBM. Det används av administratörer för att skapa krypterade anslutningar med andra datorer och göra uppgifter som fjärranslutande uppdateringsfiler. OpenSSH är den öppna källversionen, och det finns kommersiella versioner av programmet.

Tidigare i veckan mottog SANS en anonym e-post som hävdar att det var en nolldagars sårbarhet i OpenSSH, vilket innebär att en fel i programvaran redan är utnyttjas när det blir offentligt. Det är den farligaste typen av programvaresårbarhet eftersom det betyder att det inte finns någon korrigering för det ännu och de dåliga killarna vet om det.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

En sann nolldags sårbarhet i OpenSSH kan vara förödande för Internet, så att hackare kan få carte blanche tillgång till servrar och datorer tills en lösning eller en patch är klar.

"Det är därför jag tycker att folk faktiskt skapar lite panik" Bojan Zdrnja, en SANS-analytiker och senior informationskonsult vid Infigo, ett säkerhets- och penetrationsprovningsföretag i Zagreb, Kroatien. "Folk borde inte panik just nu. Ingenting på denna tid pekar på att det finns ett utnyttjande som används i det vilda."

Beviset för en sann nolldagssäkerhet i OpenSSH är svag, sade Zdrnja. Hittills har analytiker inte sett ett fungerande utnyttjande trots att oroar att en grupp som heter Anti-Sec kan ha hittat en nolldag som gjorde det möjligt för dem att styra en webbserver. Detaljer om hacken publicerades på Full Disclosure, vilket är ett oöverträffat forum för säkerhetsinformation.

När man pressade för mer information skrev en person som påstår sig vara en del av Anti-Sec ett mail till IDG News Service som säger "jag "får inte faktiskt diskutera exploateringen (eller om den existerar)", som undertecknades "anonym".

Zdrnja sa att samma grupp komprometterade en annan server nyligen men det verkade vara en brutal kraftattack mot OpenSSH. En brute-force attack är där en hacker försöker många kombinationer av autentiseringsuppgifter för att få tillgång till en server. Om en administratör använder sig av enkla inloggningar och lösenord, gör det en server som är mer utsatt för en brutal kraftattack, sade Zdrnja.

Båda de kompromissade servrarna leddes av samma person. "Jag antar att det vi har att göra med här är två hackare i ett krig mellan dem själva," sade Zdrnja. Men det finns andra faktorer som tyder på en nolldag för OpenSSH existerar inte. Om nolldagen existerade skulle hackare sannolikt vara mer benägna att använda den mot en mer profilerad server än den senaste som komprometterades, sade Zdrnja.

En av OpenSSHs utvecklare, Damien Miller, kastade också kallt vatten om möjligheten till en nolldag. Miller skrev på ett OpenSSH-forum på onsdagen att han bytte e-post med ett påstått offer för nolldagen, men attackerna verkade vara "simple brute-force." "

" Så, jag övertalar inte att en nolldag existerar alls ", skrev Miller. "Det enda beviset hittills är några anonyma rykten och overifierbara intrångsutskrifter."

Det verkar också vara viss förvirring mellan den påstådda nolldagen och en annan sårbarhet i OpenSSH, sade Zdrnja. Den sårbarheten, som är ännu inte uppladdad, kan göra det möjligt för en angripare att återställa upp till 32 bitars vanlig text från ett godtyckligt block av chiffertext från en anslutning säkrad med SSH-protokollet i standardkonfigurationen enligt en rådgivning från Storbritanniens " s centrum för skydd av nationell infrastruktur (CPNI).

Sårbarheten är allvarlig, men chansen att lyckas utnyttjas är låg, enligt CPNI. Zdrnja sa att administratörer kan implementera starkare autentiseringsmekanismer i OpenSSH med hjälp av offentliga och privata nycklar för att skydda mot en lyckad attack. I en rådgivning uppgav OpenSSH också att möjligheten till en framgångsrik attack var låg.