來自Qualys公司的安全專家發現,OpenSSH仍然容易遭受Oracle×××。至少自2011年9月以來,它就受到CVE-2018-15919漏洞的影響。
就在幾天前,來自securitum.pl的安全專家Darek Tytko公佈了另一個存在於OpenSSH客戶軟件中的類似用戶名枚舉漏洞。這個被追蹤爲CVE-2018-15473的漏洞影響了自1999年以來發布的所有OpenSSH版本。遠程×××者可以利用該漏洞猜測出在OpenSSH服務器上註冊的用戶名。由於OpenSSH與從雲託管服務器到物聯網設備的衆多技術結合使用,因此受該漏洞影響的設備可能有數十億臺。
值得注意的是,由Qualys安全專家發現的這個新的用戶名枚舉漏洞影響到了最新版本的OpenSSH,這個漏洞目前已經追蹤爲CVE-2018-15919。
與CVE-2018-15473一樣,Qualys的安全專家同樣是在OpenBSD的OpenSSH源代碼中發現了提交代碼,在對提交代碼進行了分析後發現了CVE-2018-15919。
國外安全社區Seclists.Org在它的安全通告中是這樣描述CVE-2018-15919的:“這個漏洞會影響到從5.9(2011年9月6日)到最近發佈的7.8(2018年8月24日)的所有OpenSSH版本。它與CVE-2018-15473非常相似(它不是時序×××),但它也明顯不同(代碼摘自OpenSSH 7.8p1)。”
這個漏洞存在於auth2-gss.c模塊中,而對於許多Linux發行版(如CentOS、Fedora和Red Hat Enterprise Linux)來說,這個模塊是默認啓用的。當用戶嘗試進行身份驗證時,×××者會收到相同的數據包,無論用戶名是否有效。
如果用戶名無效,則不設置“server_caused_failure”,“failure”遞增(在代碼第412行),在max_authtries身份驗證嘗試一定次數(默認情況下爲6次)之後,服務器將斷開與×××者的連接(在代碼第417行);
如果用戶名有效,則設置“server_caused_failure”,“failure”不會增加,×××者便可以無限制地嘗試GSSAPI身份驗證。這使得×××者可以猜測出SSH服務器上註冊的有效用戶名,進而實施蠻力×××或字典×××,破解密碼。
根據Qualys安全專家的說法,OpenSSH的維護者並不認爲這個用戶名枚舉漏洞的危險程序足以被評定爲“Critical”。因此,他們沒有在短時間內對其進行修復的計劃。作爲OpenSSH的開發人員之一,Damien Miller表示,用戶名被認爲是用戶身份的非隱私部分,如果沒有密碼,即使是有效的用戶名對於×××者來說也是無用的。
無論怎樣,有關CVE-2018-15919漏洞的概念驗證代碼(PoC)已經發布,我們無法得知是否會有×××會對這個漏洞以及相關易受×××的服務器感興趣。鑑於在短期內我們將不會有相應的安全補丁可用,採取禁用OpenSSH身份驗證,使用其他方式來登錄到遠程設備或許會是一種還算不錯的臨時解決方案。