В Сети появилось объявление (http://pastebin.com/raw.?i=gjkivAf3) о продаже прототипа эксплоита, использующего неисправленную уязвимость в переносимой версии OpneSSH 5.1 и более новых выпусках. Утверждается, что эксплоит опробован во FreeBSD, DragonFly BSD, различных версиях Debian, Ubuntu и CentOS. Сообщается, что уязвимость была выявлена два года назад, но эксплоит выставлен на продажу только сейчеас, так как на honeypot-серверах зафиксированы попытки эксплуатации похожей уязвимости, что свидетельствует об утечке данных об уязвимости в конкурирующие команды.
Эффект от атаки напоминает недавно исправленную в OpenSSL уязвимость Heartbleed (https://www.opennet.ru/opennews/art.shtml?num=39518), после применения эксплоита атакующие могут получить доступ к областям памяти дочернего процесса OpenSSH, в которых могут содержаться остаточные данные, в том числе ключи шифрования и хэши паролей.
Большинство (http://marc.info/?t=139939516400003&r=1&w=2) участников (http://seclists.org/oss-sec/2014/q2/246) дискуссий (https://news.ycombinator.com/item?id=7701208) с обсуждением (http://seclists.org/fulldisclosure/2014/May/24) заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует. В качестве признаков обмана упоминается излишне эмоциональный текст объявления, отсутствие доказательств реальным взломом известного сервиса, слишком низкая цена ($9000), нетипичный размер исходных текстов эксплоита (236 Кб) и некоторые расхождения, которые могут сигнализировать о том, что вывод выполненных команд "нарисован" вручную (например, размер директории не соответствует размеру файла). Разработчики OpenSSH обратили внимание (http://marc.info/?l=openssh-unix-dev&m=139933261502570&w=2) на то, что представленный дамп результатов работы эксплоита указывает на то, что атака была совершена на стадии после прохождения аутентификации, что сводит на нет практическую пользу от уязвимости.
В пользу гипотезы о реальности уязвимости могли бы свидетельствовать недавние намёки (https://www.opennet.ru/opennews/art.shtml?num=39561) Тео де Раадта о наличии серьёзной уязвимости в используемой во FreeBSD переносимой версии OpenSSH. Но, в обсуждении реальности обсуждаемого эксплоита Тео де Раадт лишь указал (http://marc.info/?l=openbsd-misc&m=139941417829000&w=2) на то, что ясность в вопросе может поставить покупка эксплоита и его передача разработчикам OpenSSH или выделение средств для создания мероприятий по аудиту OpenSSH. Тео также обратил внимание на проблемы подсистемы PAM (Pluggable authentication module), держащей в памяти хэши паролей.
URL: http://seclists.org/fulldisclosure/2014/May/24
Новость: https://www.opennet.ru/opennews/art.shtml?num=39716
Ужастный эксплоит, всем бояться
На безрыбье и рак -- рыба.
А то концов света что-то давненько не прогнозируют, так хоть за openSSH побоимся:)
Погодите, 32-битные-верующие и просто ленивые программисты до сих пор ожидают 2038
в openbsd уже волей божьей продлили срок :)
Тео собирает деньги на новую стойку.
ха, 9 штук баксов это мало? Да блин, хер ли я ботрачу админом..надо уходить в андеграунд и писать эксплоиты
Уходи. Пиши.
За _такой_ эксплойт — мало.
всего лишь 3-4 зарплаты хорошего админа (а не эникейщика / запускатора yum install) - это ОЧЕНЬ мало за ТАКОЕ.
На самом деле даже меньше 3х, если брать default-city в который в итоге стекается наверное большинство тех самых "хороших админов".
> ха, 9 штук баксов это мало?За эксплойт позволяющий поиметь все вокруг - это халява, сэр. С таким эксплойтом, если он и правда есть - можно в два счета набрать ботнет на мощных машинах с хорошим конективити. И как ты понимаешь, на услугах по ддосу/спаму/etc ботнетчики 9k$ отобьют довольно быстро.
Выглядит довольно реалистично, особенно если учесть, что далеко не все случаи заражения вот этой гадостью https://www.opennet.ru/opennews/art.shtml?num=36155 можно объяснить утечкой паролей.> Большинство участников дискуссий с обсуждением заявления о создании эксплоита склоняются к тому, что это мошенничество и уязвимости не существует.
Большинство участников дискуссии ведут себя как страусы.
> Большинство участников дискуссии ведут себя как страусы.А остальные как бараны - доказательств то не было предоставлено, что эксплоит рабочий, да еще была фраза что "после аунитефикации"
> доказательств то не было предоставлено, что эксплоит рабочийВот когда вас убьют, тогда и приходите(с)
Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают с угрозами.
> да еще была фраза что "после аунитефикации"
В данной ситуации разработчикам OpenSSH вполне естественно отмазываться и напускать туману, поэтому я бы не стал им безоговорочно верить. Потом может выплыть, что они "ошиблись", или что сплойт может работать как до, так и после аутентификации.
> Люди, организующие защиту информационных систем, не работают с доказательствами. Они работают
> с угрозами.расскажи ещё, к нам профессионал на огонёк зашёл, похоже.
Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя уже хакнули - поздновато уже патчиться, знаешь ли :).
> Эм... Кэп, поздно пить боржоми когда почки отказали. В смысле, если тебя
> уже хакнули - поздновато уже патчиться, знаешь ли :).а, то есть, так всё и оставить — всё равно ж уже хакнули? отличная идея.
> а, то есть, так всё и оставить — всё равно ж уже
> хакнули? отличная идея.Пардон? Превентивное парирование угроз по мере возможностей и не дожидаясь доказательств - вполне себе вариант. Самый очевидный маневр: завинтить рулесы на фаерах по диапазонам IP, повесить на нестандартный порт/с нестандартным баннером сервиса, порткнок настроить. Есть некая разница: если ты 1 а на тебя целый взвод хаксоров вылез, прямым курсом, с секретным оружием - хана тебе! А если они на нашем любезно подготовленном минном поле забуксовали - это мы еще посмотрим кому там хана. Соответственно, он имхо имел в виду превентивные меры (которые логичны после анализа угроз, с которыми работали).
я бы предпочёл, всё-таки, услышать слова непосредственно того Профессионала, который почтил нас своим присутствием в #15. больно уж фраза там красивая.
Дело человек говорит. У меня до сих пор на хостинге скрипткидис залили webshell через joomla компоненту и безуспешно пытаются через через фаер наружу прорваться. Исследую их ботнет постепенно, потом ковырну изнутри, а там и в интерпол можно с помощью hetzner на них подать.
Только что изучил разницу кода в OpenSSH из FreeBSD между первыми версиями, которые по словам хакера попали "под раздачу" (http://svnweb.freebsd.org/base/head/crypto/openssh/version.h... и http://svnweb.freebsd.org/base/head/crypto/openssh/version.h...)Подозрительного я ничего не нашел.
Купил. Оставляйте почту в комментах, вышлю.
Вычислил тебя по айпи, проверил твой эксплойт.
Там ";" в пятой строке стерта.
кто-то решил на пивко заработать. и ведь заработает.
> кто-то решил на пивко заработать. и ведь заработает.Определенно это не ты. Тут груда мешков и не уменьшалась. :)
>> кто-то решил на пивко заработать. и ведь заработает.
> Определенно это не ты.конечно, не я. я сплойтами не занимаюсь.