Fare for sikkerhetsfeil Sannsynlig bare en Hoax

En påstand om et programvaresårbarhet i et program som brukes til å koble seg sikkert til servere over Internett, er sannsynligvis et hoax, ifølge en analytiker hos SANS Internet Storm Center.

Programmet, kalt OpenSSH (Secure Shell), installeres på titalls millioner servere laget av leverandører som Red Hat, Hewlett-Packard, Apple og IBM. Det brukes av administratorer til å lage krypterte forbindelser med andre datamaskiner og utføre oppgaver som ekstern oppdatering av filer. OpenSSH er åpen kildekodeversjon, og det er kommersielle versjoner av programmet.

Tidligere i uken mottok SANS en anonym e-post som hevder å ha en nulldagssårbarhet i OpenSSH, noe som betyr at en feil i programvaren allerede er blir utnyttet etter hvert som den blir offentlig. Det er den farligste typen programvaresårbarhet siden det betyr at det ikke er noen løsning på det ennå, og de dårlige vet det.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

En sann nulldagssårbarhet i OpenSSH kan være ødeleggende for Internett, slik at hackere har tilgang til servere og PCer til en løsning eller en oppdatering.

"Det er derfor jeg tror at folk faktisk skaper litt panikk," sa han. Bojan Zdrnja, en SANS-analytiker og senior informasjonssikkerhetskonsulent hos Infigo, et sikkerhets- og penetrasjonsprøvingsselskap i Zagreb, Kroatia. "Folk skal ikke panikk akkurat nå. Ingenting på dette tidspunkt peker på at det er en utnyttelse som brukes i naturen."

Beviset om en sann nulldagssårbarhet i OpenSSH er svak, sa Zdrnja. Hittil har analytikere ikke sett en fungerende utnyttelse, til tross for bekymringer for at en gruppe som heter Anti-Sec, kan ha funnet en nulldag som tillot dem å kontrollere en webserver. Detaljer om hack ble publisert på Full Disclosure, som er et uautorisert forum for sikkerhetsinformasjon.

Når presset for mer informasjon, skrev en person som hevder å være en del av Anti-Sec en e-post til IDG News Service og sa "jeg Jeg har ikke lov til å diskutere utnyttelsen (eller om den eksisterer), "som ble signert" Anonym. "

Zdrnja sa at den samme gruppen kompromitterte en annen server nylig, men det syntes å være et brutalt kraftangrep mot OpenSSH. Et brute-force angrep er hvor en hacker prøver mange kombinasjoner av autentiserings legitimasjon for å få tilgang til en server. Hvis en administrator bruker enkle pålogginger og passord, gjør det en server mer sårbar for et brutalt kraftangrep, sa Zdrnja.

Begge de kompromitterte serverne ble drevet av samme person. "Jeg antar at det vi har å gjøre med her, er to hackere i en krig mellom seg selv," sa Zdrnja.

Men det finnes andre faktorer som tyder på en nulldag for OpenSSH, eksisterer ikke. Hvis nulldagen eksisterte, ville hackere trolig være mer sannsynlig å bruke den mot en mer profilert server enn den siste som ble kompromittert, sa Zdrnja.

En av OpenSSHs utviklere, Damien Miller, kastet også kaldt vann på muligheten for en null-dag. Miller skrev på et OpenSSH-forum onsdag at han byttet e-post med et påstått offer for null-dagen, men angrepene syntes å være "simple brute-force."

"Så, jeg er ikke overbevist om at en null-dag eksisterer i det hele tatt, "skrev Miller. "Det eneste beviset til nå er noen anonyme rykter og uverifiserbare inntrengingskrypter." Det synes også å være noe forvirring mellom den påståtte nulldagen og et annet sårbarhet i OpenSSH, sa Zdrnja. Dette sikkerhetsproblemet, som ikke er oppdatert, kan tillate en angriper å gjenopprette opptil 32 biter av ren tekst fra en vilkårlig blokk av krypteringstekst fra en tilkobling som er sikret ved hjelp av SSH-protokollen i standardkonfigurasjonen, ifølge en veiledning fra UK ' s senter for beskyttelse av nasjonal infrastruktur (CPNI).

Sværhetsgraden er høy, men sjansen for vellykket utnyttelse er lav, ifølge CPNI. Zdrnja sa at administratorer kan implementere sterkere autentiseringsmekanismer i OpenSSH ved hjelp av offentlige og private nøkler for å beskytte seg mot et vellykket angrep. I en rådgivende oppgave sa OpenSSH også at muligheten for et vellykket angrep var lavt.