Lỗ hổng khiến máy chủ OpenSSH bị tấn công đoán mật khẩu kiểu brute-force

Lỗ hổng khiến máy chủ OpenSSH bị tấn công đoán mật khẩu kiểu brute-force

24-07-2015
Tin tức công nghệ
3899

Cấu hình chứng thực có tương tác bàn phím có thể cho phép nhập mật khẩu hàng ngàn lần, được một chuyên gia tìm thấy.

Một lỗi trong OpenSSH, phần mềm phổ biến nhất cho phép truy cập từ xa an toàn đối với các hệ thống dạng Unix, có thể cho phép tin tặc vượt qua hạn chế về số lần chứng thực và nhập mật khẩu nhiều lần.
Một chuyên gia an ninh, người sử dụng bí danh trực tuyến là Kingcope, công bố vấn đề này trên blog của mình vào tuần trước, nhưng anh ta chỉ yêu cầu gán cho một ID lỗ hổng công khai hôm thứ Ba.
Mặc định, máy chủ OpenSSH cho phép chứng thực tối đa sáu lần trước khi đóng kết nối và máy khách OpenSSH cho phép nhập mật khẩu không chính xác ba lần, Kingcope nói.
Tuy nhiên, các máy chủ OpenSSH mà được kích hoạt chức năng chứng thực với tương tác bàn phím, đó là thiết lập mặc định trên nhiều hệ thống, bao gồm cả những FreeBSD, có thể bị lừa để cho phép nhiều lần thử chứng thực trên cùng một kết nối duy nhất, theo chuyên gia. "Với lỗ hổng này tin tặc có thể yêu cầu số lần nhắc nhập mật khẩu được giới hạn bởi tham số "login grace time", mặc định được khai báo là hai phút," Kincope nói.
Tùy thuộc vào các máy chủ và kết nối, hai phút có thể cho phép hàng ngàn lần chứng thực, có thể là đủ để đoán được những mật khẩu thông thường hoặc yếu bằng tấn công dựa trên từ điển.
Theo một cuộc thảo luận trên Reddit, việc khai báo tham số PasswordAuthentication là "no" trong cấu hình OpenSSH và sử dụng chứng thực khóa công khai không ngăn chặn được kiểu tấn công này, bởi vì chứng thực có tương tác bàn phím là một hệ thống con khác dựa vào mật khẩu.
Vì vậy, người dùng nên khai báo các tham số ChallengeResponseAuthentication KbdInteractiveAuthentication là "no" trong cấu hình của OpenSHH của mình.

   
Hỗ trợ 24x7x365
0225-710-6-222 : Tel
0936-247-365 : Hotline

Giới thiệu về chúng tôi

  • Hoster Việt Nam
  • Văn Phòng: Tầng 4 tòa nhà Hatradimex, 22 Lý Tự Trọng, phường Minh Khai, quận Hồng Bàng, TP Hải Phòng
  • Trụ Sở: 162 Hai Bà Trưng, phường An Biên, quận Lê Chân, thành phố Hải Phòng
  • Điện Thoại: 0225.710.6.222 / 0936.247.365
  • Email: contact@hoster.vn