Eli
21meneos

Aumento de ataques a servidores GNU/Linux utilizando firmas digitales a través de SSH. [ENG]

www.us-cert.gov/current/index.html 
por darkshram el 28-08-2008 04:57 UTC

US-CERT publicó un aviso respecto de la detección del aumento de ataques contra infraestructuras basadas sobre GNU/Linux utilizando firmas digitales SSH comprometidas, muy probablemente relacionadas con la grave falla de seguridad de Debian descubierta en mayo de este año. Está afecta a servidores donde la autenticación se realiza mediante firmas digitales sin protección por clave de acceso. En español: www.kriptopolis.org/servidores-linux-bajo-ataque y algo que explica de que trata: www.lanacion.com.ar/nota.asp?nota_id=1017063

 7 comentarios en: tecnología, seguridad karma: 149
etiquetas: openssh, ssh, debian
negativos: 1  usuarios: 20  anónimos: 1  compartir:  twitter  facebook  friendfeed
  1. #1   Creo que puede ser momento de mirar un poco otras alternativas como FreeBSD y para empezar PC-BSD como escritorio no esta nada mal ha :-D
    votos: 0, karma: 6
    por nilton el 28-08-2008 05:00 UTC
  2. #2   #1 Esta vulnerabilidad hace mucho que está corregida.
    votos: 4, karma: 41
    por tollendo el 28-08-2008 05:38 UTC
  3. #3   » ver comentario
    por --27879-- el 28-08-2008 05:58 UTC
  4. #4   #2 y #3 Aunque se haya corregido hace meses, durante 20 meses previos se generaron claves públicas inseguras con Debian. Es imposible calcular cuantos administradores crearon llaves DSA inseguras y que están en los ficheros ~/.ssh/authorized_keys de miles de servidores Linux, *BSD, Unix e incluso Windows alrededor del mundo. El que hagan apt-get update no corrige las miles de llaves que están involucradas y que fueron creadas por paquetes de openssh con el problema descubierto en mayo de 2008, solo el corrige al software que las genera para que en adelante se puedan crear nuevas llaves seguras.

    Cualquier servidor, con cualquier sistema operativo, con servicio SSH ejecutándose y que esté configurado para autenticar por clave pública, y que haya sido administrado por un usuario de Debian durante fines de 2006 hasta mayo de 2008, ES SUCEPTIBLE DE SER ACCEDIDO por alguien que explote la debilidad del criptograma de la llave DSA utilizada. Sin importar que hayas hecho apt-get update,yum update o ./configure; make; make install

    Detalles de como se configura en SSH para usar claves públicas, y comprendan de que estamos hablando, en este enlace: www.alcancelibre.org/staticpages/index.php/como-ssh-clave-publica.

    Enlace con detalles en www.us-cert.gov/current/index.html#ssh_key_based_attacks (no quedó #ssh_key_based_attacks en esta nota).
    votos: 1, karma: 19
    por darkshram el 28-08-2008 06:45 UTC
  5. #5   #2 #3 El problema es que aunque tires de apt-get y corrijas el error, hay que regenerar todas las claves ssh, ya que el precisamente la vulnerabilidad es que se generaban un número de claves muy bajo y por tanto los sistemas eran vulnerables a ataques por fuerza bruta. Estos ataques se suelen basar en probar este reducido número de claves para acceder a los sistemas.
    votos: 2, karma: 25
    por Campechano el 28-08-2008 06:48 UTC
  6. #6   » ver comentario
    por --70336-- el 28-08-2008 07:24 UTC
  7. #7   #6 A ti no te afecta, a menos que hayas usado Debian de fines de 2006 a mayo de 2008 y hayas creado una llave DSA y hayas instalado esta llave en cuentas de usuario o cuentas de root servidores para poder entrar por SSH sin usar contraseña (fichero ~/.ssh/authorized-keys). En realidad afecta a los servidores administrados o que fueron administrados por usuarios de Debian con paquetes con la falla que generaba llaves con un muy débil criptograma.

    Hacer apt-get update NO SOLUCIONA EL PROBLEMA. La solución del problema es que TODOS los usuarios de Debian de fines de 2006 a mayo de 2008 regeneren llaves, entren a los servidores que administran y eliminen las llaves viejas, que son muy débiles, y coloquen nuevas que carecen de problemas.

    Realmente este problema solo compromete la seguridad de servidores que usen SSH, tengan activado el acceso con llaves sin clave de acceso y hayan sido administrados por un usuario de Debian. Compromete la seguridad de cualquier servidor, con cualquier sistema operativo que use SSH.
    votos: 0, karma: 6
    por darkshram el 28-08-2008 07:33 UTC
comentarios cerrados

menéame