Hata, OpenSSH sunucularını kaba kuvvet saldırılarına karşı

UNIX tabanlı sistemlere güvenli uzaktan erişim için en popüler yazılım olan OpenSSH'deki bir hata, saldırganların kimlik doğrulama yeniden deneme kısıtlamalarını atlamasına ve birçok parola tahminini gerçekleştirmesine izin verebilir.

Çevrimiçi takma adı kullanan bir güvenlik araştırmacısı olan Kingcope, geçen haftaki bloğunda yayınladı, ancak yalnızca Salı günü atanacak bir genel güvenlik açığı kimliği istediğini belirtti.

Varsayılan olarak, OpenSSH sunucuları, bir bağlantıyı kapatmadan önce altı kimlik doğrulama yeniden denemesine izin veriyor ve OpenSSH istemcisi üç yanlış şifre girişi yapmasına izin veriyor.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılımları nasıl temizlersiniz]

Bununla birlikte, birçok sistemde varsayılan ayar olan klavye etkileşimli kimlik doğrulaması etkin OpenSSH sunucuları Araştırmacıya göre, FreeBSD olanları tek bir bağlantı üzerinden birçok kimlik doğrulama denemesine izin vermek için kandırılabilir.

“Bu güvenlik açığı ile, bir saldırgan, 'oturum açma zamanı süresi' ayarıyla sınırlı sayıda şifre sorusu talep edebilir. varsayılan olarak iki dakikaya ayarlandı, ”dedi. Kincope, sunucuya ve bağlantıya bağlı olarak, iki dakika boyunca, sözlük tabanlı saldırılar kullanarak ortak veya zayıf şifreleri tahmin etmeye yetecek sayıda yeniden deneme için izin verebilir.

Reddit konusundaki bir tartışmaya göre, OpenHD yapılandırmasında PasswordAuthentication'ı 'no' olarak ayarlayıp public-key kimlik doğrulamasını kullanmak, bu saldırıyı engellemez çünkü klavye-interaktif kimlik doğrulaması parolalara da dayanan farklı bir alt sistemdir.

Kullanıcılar, yapılandırmalarında ChallengeResponseAuthentication ve KbdInteractiveAuthentication'ı 'no' olarak ayarlamalıdır.