В OpenSSH случайно исправили древнюю дырку — миллиарды устройств спасены

Опубликовано at 13:39
40 0

Эксперты из Qualys заявили о выявлении и исцелении серьезной уязвимости в OpenSSH, которая позволяла хакеру угадать логины, зарегистрированные на серверах, использующих эту технологию. Правда, сделали они это 20 лет спустя.

Обнаруженная в OpenSSH уязвимость, по словам специалистов, позволяет с относительной простотой подбирать логины к устройствам и серверам интернета вещей (то есть, ко всем устройствам умных домов). Напомним, OpenSSH представляет собой созданное в 1999 году свободное ПО для удаленного управления компьютерами и передачи файлов с использованием протокола Secure Shell (SSH).

Уникальным этот инцидент делает следующее обстоятельство: найденная Qualys дыра наличествует в каждой версии клиента OpenSSH, выпущенной за последние 19 лет. Так как эта технология распространена повсеместно, теоретически через эту уязвимость можно (было) взломать миллиарды умных устройств и серверов по всему миру.

В чем конкретно заключается суть уязвимости: если хакер отправит на сервер специально сформированный запрос для аутентификации, он может выяснить по реакции сервера (наличие/отсутствие сообщения об ошибке перед прерыванием соединения), существует ли определенный логин. Далее через брутфорс подбирается пароль. Учитывая степень распространенности паролей по умолчанию и ненадежных паролей, при таком подходе дыра в OpenSSH могла бы стать настоящим клондайком для взломщиков.

Уязвимость была обнаружена случайно при очередном обновлении ПО. О реальных использованиях этого типа атаки ничего не сообщается.

Подписываемся, следим @CyberAgency

Related Post

«Может ли антивирус сканировать файлы на наличие информации о вашей кредитной карте? Да, он может сканировать всю информацию вашего компьютера», — Евгений Лифшиц, руководитель Агентства Кибербезопасности

Опубликовано - 07.10.2017 0
В сентябре Сенат проголосовал за запрет на использование «Антивируса Касперского» американскими госструктурами из-за подозрений в тесных связях с российскими спецслужбами.…

Выпущена первая в мире криптовалюта, обеспеченная реальной экономической деятельностью

Опубликовано - 08.08.2017 0
Малазийская компания Farad объявила о запуске новой криптовалюты – Farad cryptoken (FRD). По словам представителя компании, FRD станет первой в…

Странам БРИКС прописали отдельный интернет

Опубликовано - 30.11.2017 0
Рекомендацию Совета безопасности России фактически создать в странах БРИКС паралелльный интернет подтвердил сопредседатель Ассоциации юристов России Сергей Степашин. «Это была…

Добавить комментарий