פגום אבטחה מסוכנת ככל הנראה רק מתיחה

תביעה על פגיעות תוכנה בתוכנה המשמשת לחיבור מאובטח לשרתים ברחבי האינטרנט עשויה להיות מתיחה, על פי אנליסט עם מרכז הסאנס של האינטרנט SANS.

התוכנית, הנקראת OpenSSH (Secure Shell), מותקן על עשרות מיליוני שרתים שנעשו על ידי ספקים כגון Red Hat, Hewlett-Packard, Apple ו- IBM. הוא משמש את מנהלי כדי ליצור חיבורים מוצפנים עם מחשבים אחרים ולעשות משימות כגון מרחוק עדכון קבצים. OpenSSH הוא גרסת הקוד הפתוח, ויש גרסאות מסחריות של התוכנית.

מוקדם יותר השבוע, קיבלה SANS הודעת דואר אלקטרוני אנונימית על פגיעות של יום אפס ב- OpenSSH, שמשמעותה שפגם בתוכנה כבר להיות מנוצל כפי שהוא הופך לציבורי. זה הסוג המסוכן ביותר של פגיעות תוכנה מאז זה אומר שאין לתקן את זה עדיין הרעים יודעים על זה.

[המשך קריאה: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

פגיעות אמיתית יום אפס ב OpenSSH יכול להיות הרסניות עבור האינטרנט, ומאפשר האקרים לקבל גישה blanche שרתים לשרתים ומחשבים עד שפתרון או תיקון הוא Readied.

"בגלל זה אני חושב שאנשים בעצם יוצרים קצת פאניקה", אמר Bojan Zdrnja, אנליסט של SANS ויועץ בכיר לאבטחת מידע בחברת Infigo, חברת בדיקות אבטחה וחדירה בזאגרב, קרואטיה. "אנשים לא צריכים להיכנס לפאניקה כרגע, שום דבר כרגע לא מצביע על כך שיש ניצול בטבע".

הראיות לפגיעות של יום אפס אמיתי ב- OpenSSH חלשות, אמר זדרניה. עד כה, האנליסטים לא ראו ניצול לרעה, למרות החשש כי קבוצה בשם Anti-Sec עשוי למצוא יום אפס שאיפשר להם לשלוט בשרת אינטרנט. פרטים על גרזן פורסמו על גילוי מלא, שהוא פורום unmoderated עבור מידע אבטחה.

כאשר לחצה לפרטים נוספים, אדם הטוען להיות חלק Anti-Sec כתב אימייל לשירות חדשות IDG אומר "אני "לא ניתן למעשה לדון בניצול (או אם הוא קיים או לא)", שנחתם "אנונימי".

Zdrnja אמר כי אותה קבוצה פגעה באחרונה בשרת אחר, אך נראה כי מדובר בהתקפה בכוח הזרוע נגד OpenSSH. התקפה כוח פראי הוא המקום שבו האקר מנסה שילובים רבים של אישורי אימות כדי לקבל גישה לשרת. אם מנהל משתמש משתמש ביומני כניסה וסיסמאות פשוטים, הוא הופך את השרת לפגיע יותר להתקפת כוח אכזרית, אמר זדרניה.

שני השרתים שנפגעו היו מנוהלים על ידי אותו אדם. "אני מניח שמה שאנחנו מתמודדים כאן זה שני האקרים במלחמה בינם לבין עצמם", אמר זדרניה. אבל ישנם גורמים אחרים המצביעים על יום אפס עבור OpenSSH לא קיים. אם יום האפס היה קיים, סביר להניח שהאקרים ישתמשו בו כנגד שרת בעל פרופיל גבוה יותר מזה של השרת האחרון שנמצא בסכנה, אמר זדרניה. אחד ממפתחי OpenSSH, דמיאן מילר, זרק גם מים קרים על האפשרות של יום אפס. מילר כתב בפורום של OpenSSH ביום רביעי כי הוא החליף אימיילים עם קורבן לכאורה של יום האפס, אבל ההתקפות נראה "פשוט כוח הזרוע". "אז אני לא משוכנע כי יום אפס קיים בכלל, "כתב מילר. "הראיות היחידות עד כה הן כמה שמועות אנונימיות ותמלילי חדירה שאינם ניתנים לאימות". נראה כי יש גם בלבול בין יום האפס לכאורה לבין פגיעות אחרת ב- OpenSSH, אמר Zdrnja. פגיעות זו, שעדיין לא פורסמה, עלולה לאפשר לתוקף לשחזר עד 32 סיביות של טקסט רגיל מתוך בלוק שרירותי של הצפנה מהחיבור המאובטח באמצעות פרוטוקול SSH בתצורה הסטנדרטית, על פי היידוע של " המרכז להגנת התשתיות הלאומיות (CPNI)חומרת הפגיעות נחשבת לגבוהה, אך הסיכוי לניצול מוצלח נמוך, על פי CPNI. Zdrnja אמר מנהלי יכולים ליישם מנגנוני אימות חזקה OpenSSH באמצעות מפתחות ציבוריים ופרטיים כדי להישמר מפני התקפה מוצלחת. בייעוץ, OpenSSH גם הצהיר כי האפשרות של התקפה מוצלחת היה נמוך