Dangerous Security Flaw Malamang Isang Hoax

Ang programa, na tinatawag na OpenSSH (na tinatawag na OpenSSH), ay isang pag-uugali ng isang software na kahinaan sa isang programa na ginagamit upang kumonekta nang ligtas sa mga server sa Internet. Secure Shell), ay naka-install sa sampu-sampung milyong mga server na ginawa ng mga vendor tulad ng Red Hat, Hewlett-Packard, Apple at IBM. Ginagamit ito ng mga administrator upang gawing naka-encrypt ang mga koneksyon sa iba pang mga computer at gawin ang mga gawain tulad ng malayuan pag-update ng mga file. Ang OpenSSH ay ang bukas na pinagmulan na bersyon, at may mga komersyal na bersyon ng programa.

Mas maaga sa linggong ito, ang SANS ay nakatanggap ng isang anonymous na e-mail na nag-aangkin ng isang zero-day na kahinaan sa OpenSSH, na nangangahulugang isang kapintasan sa software ay pinagsamantalahan dahil ito ay nagiging pampubliko.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Ang isang tunay na zero-day na kahinaan sa OpenSSH ay maaaring nagwawasak para sa Internet, na nagpapahintulot sa mga hacker na magkaroon ng carte blanche ng access sa mga server at PC hanggang ang isang workaround o isang patch ay pinapagana.

"Iyon ang dahilan kung bakit sa tingin ko ang mga tao ay talagang lumilikha ng kaunting panic," sabi Bojan Zdrnja, isang SANS analyst at senior information security consultant sa Infigo, isang security and penetration testing company sa Zagreb, Croatia. "Ang mga tao ay hindi dapat sindak sa ngayon. Wala sa panahong ito ang tumutukoy na mayroong isang pagsasamantala na ginagamit sa ligaw."

Ang katibayan ng isang tunay na zero-day na kahinaan sa OpenSSH ay mahina, sinabi ni Zdrnja. Sa ngayon, hindi nakita ng mga analyst ang isang nagtatrabaho na pagsasamantala, sa kabila ng mga alalahanin na maaaring natuklasan ng isang grupo na tinatawag na Anti-Sec ang isang zero-day na nagpapahintulot sa kanila na makontrol ang isang Web server. Ang mga detalye sa hack ay nai-post sa Full Disclosure, kung saan ay isang unmoderated forum para sa impormasyon sa seguridad.

Kapag pinindot para sa higit pang mga detalye, ang isang tao na nagsasabing bahagi ng Anti-Sec ay sumulat ng isang e-mail sa IDG News Service na nagsasabing " 'Hindi pinapayagan ang tunay na pag-usapan ang pagsasamanta (o kung mayroon man o wala ito), "na pinirmahan na" Anonymous. "

Sinabi ni Zdrnja na ang parehong grupo ay nakompromiso sa ibang server kamakailan lamang, ngunit mukhang ito ay isang brute-force attack OpenSSH. Ang isang brute-force na pag-atake ay kung saan sinusubukan ng isang Hacker ang maraming mga kumbinasyon ng mga kredensyal sa pagpapatotoo upang makakuha ng access sa isang server. Kung ang isang administrator ay gumagamit ng mga simpleng log-in at mga password, ito ay gumagawa ng isang server na mas mahina sa isang atake ng malupit na puwersa, sinabi ni Zdrnja.

Ang parehong mga naka-kompromiso na server ay pinapatakbo ng parehong tao. "Ipagpalagay ko kung ano ang pakikitungo namin dito ay dalawang hacker sa digmaan sa pagitan nila," sabi ni Zdrnja.

Ngunit may iba pang mga kadahilanan na nagpapahiwatig ng isang zero-araw para sa OpenSSH ay hindi umiiral. Kung ang zero-day na umiiral, ang mga hacker ay maaaring mas malamang na gamitin ito laban sa isang mas mataas na profile na server kaysa sa pinaka-kamakailang isa na nakompromiso, sinabi ni Zdrnja.

Ang isa sa mga developer ng OpenSSH, si Damien Miller, ay naghagis din ng malamig na tubig sa posibilidad ng isang zero-araw. Sumulat si Miller sa forum ng OpenSSH noong Miyerkules na nagbago siya ng mga e-mail sa isang diumano'y biktima ng zero-day, ngunit ang mga pag-atake ay lumilitaw na "simple brute-force."

"Kaya, hindi ako naniniwala na ang isang wala nang zero-day, "sumulat si Miller. "Ang tanging katibayan sa ngayon ay ang ilang di-kilalang mga alingawngaw at di maitatapat na mga transcript ng panghihimasok."

Mayroon ding tila ilang pagkalito sa pagitan ng di-umano'y zero-day at iba't ibang kahinaan sa OpenSSH, sinabi ni Zdrnja. Ang kahinaan na ito, na kung saan ay hindi pa patched, ay maaaring payagan ang isang magsasalakay upang mabawi ang hanggang sa 32 mga piraso ng plain text mula sa isang di-makatwirang block ng ciphertext mula sa isang koneksyon secure na gamit ang SSH protocol sa standard configuration, ayon sa isang advisory mula sa UK ' s Center para sa Proteksyon ng National Infrastructure (CPNI).

Ang kalubhaan ng kahinaan ay itinuturing na mataas, ngunit ang posibilidad ng matagumpay na pagsasamantala ay mababa, ayon sa CPNI. Sinabi ni Zdrnja na ang mga administrator ay maaaring magpatupad ng mas malakas na mekanismo ng pagpapatunay sa OpenSSH gamit ang mga pampubliko at pribadong mga susi upang bantayan laban sa isang matagumpay na atake. Sa isang advisory, sinabi rin ng OpenSSH na ang posibilidad ng isang matagumpay na atake ay mababa.