US-CERT publicó un aviso respecto de la detección del aumento de ataques contra infraestructuras basadas sobre GNU/Linux utilizando firmas digitales SSH comprometidas, muy probablemente relacionadas con la grave falla de seguridad de Debian descubierta en mayo de este año. Está afecta a servidores donde la autenticación se realiza mediante firmas digitales sin protección por clave de acceso. En español: http://www.kriptopolis.org/servidores-linux-bajo-ataque y algo que explica de que trata: http://www.lanacion.com.ar/nota.asp?nota_id=1017063
#2#3 El problema es que aunque tires de apt-get y corrijas el error, hay que regenerar todas las claves ssh, ya que el precisamente la vulnerabilidad es que se generaban un número de claves muy bajo y por tanto los sistemas eran vulnerables a ataques por fuerza bruta. Estos ataques se suelen basar en probar este reducido número de claves para acceder a los sistemas.
No estoy seguro, pero creo recordar que al actualizar el paquete en Ubuntu me apareció un diálogo preguntándome si quería regenerar todas las claves. Vamos, que actualizando y dándole a Aceptar en ese diálogo debería de haberse solucionado el problema... ¿o me estoy perdiendo algo?
#2 y #3 Aunque se haya corregido hace meses, durante 20 meses previos se generaron claves públicas inseguras con Debian. Es imposible calcular cuantos administradores crearon llaves DSA inseguras y que están en los ficheros ~/.ssh/authorized_keys de miles de servidores Linux, *BSD, Unix e incluso Windows alrededor del mundo. El que hagan apt-get update no corrige las miles de llaves que están involucradas y que fueron creadas por paquetes de openssh con el problema descubierto en mayo de 2008, solo el corrige al software que las genera para que en adelante se puedan crear nuevas llaves seguras.
Cualquier servidor, con cualquier sistema operativo, con servicio SSH ejecutándose y que esté configurado para autenticar por clave pública, y que haya sido administrado por un usuario de Debian durante fines de 2006 hasta mayo de 2008, ES SUCEPTIBLE DE SER ACCEDIDO por alguien que explote la debilidad del criptograma de la llave DSA utilizada. Sin importar que hayas hecho apt-get update,yum update o ./configure; make; make install
Enlace con detalles en #ssh_key_based_attacks" target="_blank" class="content-link external" style="color: rgb(227, 86, 20)">http://www.us-cert.gov/current/index.html#ssh_key_based_attacks (no quedó #ssh_key_based_attacks en esta nota).
#6 A ti no te afecta, a menos que hayas usado Debian de fines de 2006 a mayo de 2008 y hayas creado una llave DSA y hayas instalado esta llave en cuentas de usuario o cuentas de root servidores para poder entrar por SSH sin usar contraseña (fichero ~/.ssh/authorized-keys). En realidad afecta a los servidores administrados o que fueron administrados por usuarios de Debian con paquetes con la falla que generaba llaves con un muy débil criptograma.
Hacer apt-get update NO SOLUCIONA EL PROBLEMA. La solución del problema es que TODOS los usuarios de Debian de fines de 2006 a mayo de 2008 regeneren llaves, entren a los servidores que administran y eliminen las llaves viejas, que son muy débiles, y coloquen nuevas que carecen de problemas.
Realmente este problema solo compromete la seguridad de servidores que usen SSH, tengan activado el acceso con llaves sin clave de acceso y hayan sido administrados por un usuario de Debian. Compromete la seguridad de cualquier servidor, con cualquier sistema operativo que use SSH.
Comentarios
#1 Esta vulnerabilidad hace mucho que está corregida.
#2 #3 El problema es que aunque tires de apt-get y corrijas el error, hay que regenerar todas las claves ssh, ya que el precisamente la vulnerabilidad es que se generaban un número de claves muy bajo y por tanto los sistemas eran vulnerables a ataques por fuerza bruta. Estos ataques se suelen basar en probar este reducido número de claves para acceder a los sistemas.
No estoy seguro, pero creo recordar que al actualizar el paquete en Ubuntu me apareció un diálogo preguntándome si quería regenerar todas las claves. Vamos, que actualizando y dándole a Aceptar en ese diálogo debería de haberse solucionado el problema... ¿o me estoy perdiendo algo?
#2 y #3 Aunque se haya corregido hace meses, durante 20 meses previos se generaron claves públicas inseguras con Debian. Es imposible calcular cuantos administradores crearon llaves DSA inseguras y que están en los ficheros ~/.ssh/authorized_keys de miles de servidores Linux, *BSD, Unix e incluso Windows alrededor del mundo. El que hagan apt-get update no corrige las miles de llaves que están involucradas y que fueron creadas por paquetes de openssh con el problema descubierto en mayo de 2008, solo el corrige al software que las genera para que en adelante se puedan crear nuevas llaves seguras.
Cualquier servidor, con cualquier sistema operativo, con servicio SSH ejecutándose y que esté configurado para autenticar por clave pública, y que haya sido administrado por un usuario de Debian durante fines de 2006 hasta mayo de 2008, ES SUCEPTIBLE DE SER ACCEDIDO por alguien que explote la debilidad del criptograma de la llave DSA utilizada. Sin importar que hayas hecho apt-get update,yum update o ./configure; make; make install
Detalles de como se configura en SSH para usar claves públicas, y comprendan de que estamos hablando, en este enlace: http://www.alcancelibre.org/staticpages/index.php/como-ssh-clave-publica.
Enlace con detalles en #ssh_key_based_attacks" target="_blank" class="content-link external" style="color: rgb(227, 86, 20)">http://www.us-cert.gov/current/index.html#ssh_key_based_attacks (no quedó #ssh_key_based_attacks en esta nota).
#2 Lo que significa que pocos utilizan el apt-get update/upgrade
Creo que puede ser momento de mirar un poco otras alternativas como FreeBSD y para empezar PC-BSD como escritorio no esta nada mal ha
#6 A ti no te afecta, a menos que hayas usado Debian de fines de 2006 a mayo de 2008 y hayas creado una llave DSA y hayas instalado esta llave en cuentas de usuario o cuentas de root servidores para poder entrar por SSH sin usar contraseña (fichero ~/.ssh/authorized-keys). En realidad afecta a los servidores administrados o que fueron administrados por usuarios de Debian con paquetes con la falla que generaba llaves con un muy débil criptograma.
Hacer apt-get update NO SOLUCIONA EL PROBLEMA. La solución del problema es que TODOS los usuarios de Debian de fines de 2006 a mayo de 2008 regeneren llaves, entren a los servidores que administran y eliminen las llaves viejas, que son muy débiles, y coloquen nuevas que carecen de problemas.
Realmente este problema solo compromete la seguridad de servidores que usen SSH, tengan activado el acceso con llaves sin clave de acceso y hayan sido administrados por un usuario de Debian. Compromete la seguridad de cualquier servidor, con cualquier sistema operativo que use SSH.