Si algunos de nuestros foros, manuales, ALDOS, paquetería o proyectos te han resultado de ayuda, apreciaremos mucho nos apoyes con un donativo.

Aumento de ataques a servidores utilizando firmas digitales a través de SSH.

US-CERT publicó un aviso respecto de la detección del aumento de ataques contra infraestructuras basadas sobre GNU/Linux utilizando firmas digitales SSH comprometidas, muy probablemente relacionadas con la grave falla de seguridad de Debian descubierta en mayo de este año. Está afecta a servidores donde la autenticación se realiza mediante firmas digitales sin protección por clave de acceso.

Tras lograr el acceso al sistema, se explotan vulnerabilidades del núcleo, en sistemas sin actualizar, para obtener privilegios de administrador (root). Los atacantes instalan inmediatamente después un rootkit (como Phalanx2) en el sistema, el cual tendrá como objetivo robar nuevas firmas que se utilizan para comprometer otros servidores u otros sistemas de la propia infraestructura comprometida.

Para detectar si un sistema ha sido comprometido, además de revisar los controles habituales (Tripwire, buscar procesos ocultos, etc.) se debe comprobar si existe el directorio /etc/khubd.p2/. Utilizar el mandato ls es inútil, ya que se trata de un directorio oculto para este mandato, pero se puede intentar entrar a este directorio con el mandato cd de la siguiente forma:

cd /etc/khubd.p2/

Si el sistema estuviera comprometido, US-CERT recomienda desactivar la autenticación mediante firmas digitales SSH, auditar las firmas en uso e informar a los usuarios en riesgo.

Para resumir el incidente que pudiera estar relacionado, pero que también pudiera estar relacionado con un problema completamente distinto, en mayo pasado se descubrió que durante un año y ocho meses, quienes utilizaron Debian, estuvieron creando llaves públicas inseguras, debido a que dos líneas de código fueron eliminadas en OpenSSL y que crearon vulnerabilidad en el generador de números pseudoaleatorios haciendo que se empezaron a utilizaran como semillas los identificadores de proceso (PID). Debido a que en Linux sólo puede haber 32,768 identificadores de proceso, el número de semillas disponibles para generar números al azar se volvió ridículamente bajo. Como el algoritmo que se usa para producir números al azar es conocida, teniendo esto en cuenta y las posibles semillas, es fácil adivinar el cifrado resultante

De ser ésta la causa de los problemas reportados, cualquier servidor, con cualquier servidor con cualquier sistema operativo, que tenga un servicio SSH ejecutándose y que esté configurado para autenticar el acceso a través de firma digital y que haya sido administrado por un usuario de Debian en el periodo desde fines de 2006 hasta mayo de 2008, ES SUCEPTIBLE DE SER ACCEDIDO por alguien que explote la debilidad del criptograma de la llave creada desde Debian durante el periodo mencionado. Es imposible calcular cuantos administradores crearon firmas digitales inseguras y que están en los archivos ~/.ssh/authorized_keys de miles de servidores GNU/Linux, *BSD, Mac OS X, Unix, Solaris, HP-UX e incluso Windows alrededor del mundo.

Nuevamente mi comentario hecho hace varios meses: ¡Hagamos campaña por informar y para regenerar llaves públicas!

Fuente: Kriptópilis.


Atención: Salvo que se indique lo contrario, la licencia del texto de este documento es Creative Commons Reconocimiento 2.5, mediante la cual usted tiene permitido copiar, modificar, comunicar y distribuir el contenido de este texto, de manera total o parcial, y publicarlo o difundirlo en cualquier otro sitio de Internet o medio de comunicaciòn, siempre y cuando incluya o cite (1)el nombre de este sitio de Internet, (2)enlace permanente de este documento, (3)nombre del autor y (4)la misma licencia de distribución.

Opciones: Imprimir | Recomendar | Enlace permanente

Twitter Facebook Google Bookmarks Bitacoras.com Wikio Menéame Technorati Bloglines Digg Yahoo Buzz

Seguimientos (Trackback)

URL de seguimiento para esta entrada:
http://www.alcancelibre.org/trackback.php/servidores-linux-bajo-ataque-claves-ssh
  • Aumento de ataques a servidores utilizando firmas digitales a través de SSH.
  • 0comentarios
  • Crea cuenta nueva
Agregar comentario

Los siguientes comentarios son de la persona que los haya enviado. Este sitio se deslinda de cualquier responsabilidad respecto de las opiniones expresadas por los participantes en nuestros foros y secciones de comentarios, y el hecho de publicar las mismas no significa que se esté de acuerdo con éstas.