Investigadores de seguridad han localizado una vulnerabilidad en OpenSSH que permitiría a los atacantes realizar miles de intentos de inicio de sesión con la finalidad de averiguar la contraseña de acceso.
En condiciones normales de funcionamiento, este software ofrece al
usuario la posibilidad de utilizar entre 3 y 6 intentos antes de que la
conexión se cierre, algo que gracias a este fallo de seguridad detectado no es
así y un atacante podría realizar miles de intentos intentando descubrir cuál
es la contraseña correcta, utilizando por ejemplo un ataque de fuerza bruta.
A esto hay que sumar que la autenticación haciendo uso del teclado (conocida como keyboard- interactive authentication) se encuentra activada por defecto en muchos sistemas, permitiendo a los ciberdelincuentes hacer uso de esta vulnerabilidad.
La vulnerabilidad de OpenSSH se explotaría gracias a un diccionario
- Los
atacantes disponen de dos minutos para enviar todas las peticiones de
inicio de sesión que sea posible, esperando evidentemente que alguna de
las introducidas sea la correcta.
- Realizar
esto en tan poco tiempo solo se puede hacer utilizando lo que se conoce
como un diccionario, es decir, base datos que contiene nombres de inicio
de sesión y claves robadas de otros servicios y que con bastante
frecuencia se utilizan en otros.
¿Cómo puedo contrarestar
los efectos de este fallo de seguridad?
- Ya
se encuentran circulando exploits por Internet y ahora son muchos los que
se preguntan cómo pueden evitar que su sistema se vea afectado o minimizar
el efecto de este fallo de seguridad a la espera de que aparezca una
actualización que resuelva el problema.
- En
primer lugar se recomienda utilizar una clave lo suficientemente segura y
que haya sido utilizada o se encuentre en vigor en otros servicios. También
se recomienda reducir el periodo de gracia a 20 o 30 segundos para
minimizar lo máximo posible el ataque de fuerza bruta.
- Además, se recomienda la utilización de programas como Fail2Ban o Pam-Shield para bloquear los intentos fallidos de acceso y que la dirección IP no pueda realizar más.
Fuente: The Hacker News