The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Неподтверждённые заявления о создании эксплоита для атаки на OpenSSH

07.05.2014 09:44

В Сети появилось объявление о продаже прототипа эксплоита, использующего неисправленную уязвимость в переносимой версии OpenSSH 5.1 и более новых выпусках. Утверждается, что эксплоит опробован во FreeBSD, DragonFly BSD, различных версиях Debian, Ubuntu и CentOS. Сообщается, что уязвимость была выявлена два года назад, но эксплоит выставлен на продажу только сейчас, так как на серверах-ловушках зафиксированы попытки эксплуатации похожей уязвимости, что свидетельствует об утечке данных об уязвимости в конкурирующие команды.

Эффект от атаки напоминает недавно исправленную в OpenSSL уязвимость Heartbleed, после применения эксплоита атакующие могут получить доступ к областям памяти дочернего процесса OpenSSH, в которых могут содержаться остаточные данные, в том числе ключи шифрования и хэши паролей.

Большинство участников дискуссий с обсуждением заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует. В качестве признаков обмана упоминается излишне эмоциональный текст объявления, отсутствие доказательств реальным взломом известного сервиса, слишком низкая цена ($9000), нетипичный размер исходных текстов эксплоита (236 Кб) и некоторые расхождения, которые могут сигнализировать о том, что вывод выполненных команд "нарисован" вручную (например, размер директории не соответствует размеру файла). Разработчики OpenSSH обратили внимание на то, что представленный дамп результатов работы эксплоита говорит о том, что атака была совершена на стадии после прохождения аутентификации, что сводит на нет практическую пользу от уязвимости.

В пользу гипотезы о реальности уязвимости могли бы свидетельствовать недавние намёки Тео де Раадта о наличии серьёзной уязвимости в используемой во FreeBSD переносимой версии OpenSSH. Но, в обсуждении реальности эксплоита Тео де Раадт лишь указал на то, что ясность в вопросе может поставить покупка эксплоита и его передача разработчикам OpenSSH или выделение средств для создания мероприятий по аудиту OpenSSH. Тео также обратил внимание на проблемы подсистемы PAM (Pluggable authentication module), держащей в памяти хэши паролей.

  1. Главная ссылка к новости (http://seclists.org/fulldisclo...)
  2. OpenNews: Tor заблокировал около 600 узлов, подверженных уязвимости Heartbleed
  3. OpenNews: Компания Akamai предложила безопасную систему распределения памяти для OpenSSL
  4. OpenNews: В OpenSSH подозревают наличие опасной уязвимости
  5. OpenNews: Heartbleed-уязвимость в OpenSSL могла эксплуатироваться с ноября прошлого года
  6. OpenNews: Опубликован прототип эксплоита для Heartbleed-уязвимости в OpenSSL
Лицензия: CC-BY
Тип: Тема для размышления
Ключевые слова: openssh, security
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (26) Ajax | 1 уровень | Линейный | Раскрыть всё | RSS
  • 1.1, Аноним (-), 10:05, 07/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ужастный эксплоит, всем бояться
     
     
  • 2.2, A.Stahl (ok), 10:14, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    На безрыбье и рак -- рыба.
    А то концов света что-то давненько не прогнозируют, так хоть за openSSH побоимся:)
     
     
  • 3.3, EuPhobos (ok), 10:57, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Погодите, 32-битные-верующие и просто ленивые программисты до сих пор ожидают 2038
     
     
  • 4.4, бедный буратино (ok), 11:09, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    в openbsd уже волей божьей продлили срок :)
     
  • 2.33, свободный бздун (?), 19:03, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Тео собирает деньги на новую стойку.
     

  • 1.8, odity (?), 11:37, 07/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    ха, 9 штук баксов это мало? Да блин, хер ли я ботрачу админом..надо уходить в андеграунд и писать эксплоиты
     
     
  • 2.13, Аноним (-), 12:21, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +8 +/
    Уходи. Пиши.
     
  • 2.16, Xaionaro (ok), 14:28, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    За _такой_ эксплойт — мало.
     
  • 2.66, Аноним (-), 21:04, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    всего лишь 3-4 зарплаты хорошего админа (а не эникейщика / запускатора yum install) - это ОЧЕНЬ мало за ТАКОЕ.
     
     
  • 3.81, RomanCh (ok), 23:21, 08/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    На самом деле даже меньше 3х, если брать default-city в который в итоге стекается наверное большинство тех самых "хороших админов".
     
  • 2.68, Аноним (-), 21:20, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > ха, 9 штук баксов это мало?

    За эксплойт позволяющий поиметь все вокруг - это халява, сэр. С таким эксплойтом, если он и правда есть - можно в два счета набрать ботнет на мощных машинах с хорошим конективити. И как ты понимаешь, на услугах по ддосу/спаму/etc ботнетчики 9k$ отобьют довольно быстро.

     

  • 1.11, Аноним (-), 11:45, 07/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Выглядит довольно реалистично, особенно если учесть, что далеко не все случаи заражения вот этой гадостью http://www.opennet.ru/opennews/art.shtml?num=36155 можно объяснить утечкой паролей.

    > Большинство участников дискуссий с обсуждением заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует.

    Большинство участников дискуссии ведут себя как страусы.

     
     
  • 2.14, Адекват (ok), 13:15, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Большинство участников дискуссии ведут себя как страусы.

    А остальные как бараны - доказательств то не было предоставлено, что эксплоит рабочий, да еще была фраза что "после аунитефикации"


     
     
  • 3.15, Аноним (-), 13:29, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > доказательств то не было предоставлено, что эксплоит рабочий

    Вот когда вас убьют, тогда и приходите(с)

    Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают с угрозами.

    > да еще была фраза что "после аунитефикации"

    В данной ситуации разработчикам OpenSSH вполне естественно отмазываться и напускать туману, поэтому я бы не стал им безоговорочно верить. Потом может выплыть, что они "ошиблись", или что сплойт может работать как до, так и после аутентификации.

     
     
  • 4.24, arisu (ok), 17:43, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают
    > с угрозами.

    расскажи ещё, к нам профессионал на огонёк зашёл, похоже.

     
     
  • 5.67, Аноним (-), 21:18, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя уже хакнули - поздновато уже патчиться, знаешь ли :).
     
     
  • 6.69, arisu (ok), 21:20, 07/05/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя
    > уже хакнули - поздновато уже патчиться, знаешь ли :).

    а, то есть, так всё и оставить — всё равно ж уже хакнули? отличная идея.

     
     
  • 7.71, Аноним (-), 04:44, 08/05/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > а, то есть, так всё и оставить — всё равно ж уже
    > хакнули? отличная идея.

    Пардон? Превентивное парирование угроз по мере возможностей и не дожидаясь доказательств - вполне себе вариант. Самый очевидный маневр: завинтить рулесы на фаерах по диапазонам IP, повесить на нестандартный порт/с нестандартным баннером сервиса, порткнок настроить. Есть некая разница: если ты 1 а на тебя целый взвод хаксоров вылез, прямым курсом, с секретным оружием - хана тебе! А если они на нашем любезно подготовленном минном поле забуксовали - это мы еще посмотрим кому там хана. Соответственно, он имхо имел в виду превентивные меры (которые логичны после анализа угроз, с которыми работали).

     
     
  • 8.74, arisu (ok), 11:43, 08/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    я бы предпочёл, всё-таки, услышать слова непосредственно того Профессионала, кот... текст свёрнут, показать
     
  • 8.82, pincher (??), 09:09, 11/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Дело человек говорит У меня до сих пор на хостинге скрипткидис залили webshell ... текст свёрнут, показать
     
  • 2.83, Аноним (-), 13:14, 11/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Только что изучил разницу кода в OpenSSH из FreeBSD между первыми версиями, которые по словам хакера попали "под раздачу" (http://svnweb.freebsd.org/base/head/crypto/openssh/version.h?revision=181097& и http://svnweb.freebsd.org/base/head/crypto/openssh/version.h?revision=181111&)

    Подозрительного я ничего не нашел.

     

  • 1.20, Аноним (-), 17:29, 07/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Купил. Оставляйте почту в комментах, вышлю.
     
     
  • 2.75, Гость (?), 12:51, 08/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Вычислил тебя по айпи, проверил твой эксплойт.
    Там ";" в пятой строке стерта.
     

  • 1.21, arisu (ok), 17:39, 07/05/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –5 +/
    кто-то решил на пивко заработать. и ведь заработает.
     
     
  • 2.78, Аноним (-), 22:23, 08/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > кто-то решил на пивко заработать. и ведь заработает.

    Определенно это не ты. Тут груда мешков и не уменьшалась. :)

     
     
  • 3.80, arisu (ok), 22:24, 08/05/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> кто-то решил на пивко заработать. и ведь заработает.
    > Определенно это не ты.

    конечно, не я. я сплойтами не занимаюсь.

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    MIRhosting
    Inferno Solutions
    Hosting by Ihor
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2019 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру