Bug öffnet OpenSSH-Server für Brute-Force-Passwort-Attacken

Ein Fehler in OpenSSH, der beliebtesten Software für sicheren Remote-Zugriff auf UNIX-basierte Systeme, könnte es Angreifern ermöglichen, Authentifizierungswiederholungseinschränkungen zu umgehen und viele Passwortschätzungen auszuführen.

Ein Sicherheitsforscher, der den Online-Alias ​​Kingcope verwendet, enthüllte den Ausgabe in seinem Blog letzte Woche, aber er forderte nur eine öffentliche Schwachstelle ID Dienstag zugewiesen werden.

Standardmäßig OpenSSH Server erlauben sechs Authentifizierungsversuche vor dem Schließen einer Verbindung und der OpenSSH-Client erlaubt drei falsche Passwort-Einträge, sagte Kingcope

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Allerdings sind OpenSSH-Server mit aktivierter Tastatur-Interaktion aktiviert, was auf vielen Systemen die Standardeinstellung ist, einschließlich In FreeBSD-Umgebungen können Benutzer nach Angaben des Forschers dazu verleitet werden, viele Authentifizierungsversuche über eine einzige Verbindung zuzulassen.

"Mit dieser Sicherheitslücke kann ein Angreifer so viele Kennwortaufforderungen anfordern, wie durch die Einstellung" Anmeldefrist "begrenzt ist standardmäßig auf zwei Minuten eingestellt ", sagte Kincope.

Abhängig vom Server und der Verbindung könnten zwei Minuten Tausende von Wiederholungen zulassen, was ausreichen könnte, um gewöhnliche oder schwache Passwörter mit wörterbuchbasierten Angriffen zu erraten.

Laut einer Diskussion auf Reddit verhindert das Setzen von PasswordAuthentication auf 'no' in der OpenSSH-Konfiguration und die Verwendung der Public-Key-Authentifizierung diesen Angriff nicht, da die tastaturinteraktive Authentifizierung ein anderes Subsystem ist, das ebenfalls auf Passwörter angewiesen ist.

Benutzer sollten ChallengeResponseAuthentication und KbdInteractiveAuthentication in ihren Konfigurationen auf 'no' setzen.