Par défaut, le service de chiffrement n’autorise que six essais. Cependant, cette vulnérabilité permettrait aux attaquants de tester autant de mots de passe qu’ils le souhaitent, et qui seraient limités par un réglage « login grace time », initialisé à deux minutes par défaut. Ce qui signifie donc qu’un attaquant pourrait écrire un script qui essaye des milliers de combinaisons dans cette période sans que la connexion ne soit interrompue.
C’est un chercheur en sécurité qui a utilisé l’alias Kingcope qui le fait savoir dans un billet, précisant que les systèmes FreeBSD sont affectés par cette vulnérabilité parce qu’ils ont l’authentification interactive clavier activée par défaut. Pour illustrer ses propos, il a donné un exemple de commande qui permettrait de changer la limitation du nombre de mots de passe et de le faire passer à 10 000 durant le « login grace time ».
Code : | Sélectionner tout |
ssh -lusername -oKbdInteractiveDevices=`perl -e 'print "pam," x 10000'` targethost
« La partie cruciale est que si l’attaquant demande 10 000 dispositifs de claviers interactifs, OpenSSH va gracieusement exécuter la requête et la demande sera à l’intérieur d’une boucle qui va accepter les mots de passe jusqu’à ce que le nombre de dispositifs prévu vienne à être dépassé ».
Dans son billet, il a écrit le code d’un exploit qui pourrait être utilisé avec la dernière version d’OpenSSH qui est la version 6.9. Dans un autre billet, le même auteur a expliqué que le même exploit a fonctionné face à une version d’OpenSSH intégrée dans une version du système d’exploitation FreeBDS publiée en 2007. Bien entendu, il affirme être déjà entré en contact avec les responsables qui lui ont signifié qu’ils assigneront un CVE (Common Vulnerabilities and Exposures), un dictionnaire des informations publiques relatives aux vulnérabilités de sécurité, et travailleront sur un correctif.
D’un certain angle, la gravité de la vulnérabilité pourrait être considérée comme légère. Mais cela suppose que les utilisateurs d’OpenSSH se servent d’une clé de chiffrement pour l'authentification. Avec une telle configuration, seuls les ordinateurs possédant la clé privée seront en mesure d'accéder au serveur. En plus de cela, les serveurs eux-mêmes devraient être configurés de sorte que le nombre de tentatives de connexion soit limité, une mesure qui pourrait grandement limiter la portée de ce vecteur d’attaque.
D’un autre côté, la vulnérabilité a le potentiel de créer de sérieux problèmes. Les attaques par force brute contre des machines où SSH est activé sont des événements réguliers d’après des études comme celle du spécialiste en sécurité Sucuri ; des études qui suggèrent que suffisamment de serveurs restent vulnérables à ce type d’attaque.
« Malheureusement, les attaques SSH par force brute restent une menace crédible sur internet, alors cette vulnérabilité va les rendre encore plus faciles et plus efficaces », a avancé Jon Oberheide, Directeur Technique du fournisseur de services d’authentification à deux facteurs Duo Security. « C’est l’un de ces bugs qui n’affecteront pas les serveurs bien configurés, mais les autres serveurs, qui étaient déjà vulnérables face à un faible débit d’attaques par force brute, le seront plus encore ».
Source : blog Kingscope, requête de Kingman pour un CVE, blog Sucuri