ثغرة في OpenSSH تسمح شن هجوم Bruteforce

يعتبر تطبيق OpenSSH احد ابرز التطبيقات و البرامج التي يتم استخدامها لادارة والتحكم بأنظمة تشغيل لينكس عن بعد وذلك عن طريق انشاء إتصال آمن. خلال الأيام الماضية قام أحد الباحثين الامنيين بالكشف عن ثغرة بسيطة الإستغلال و عالية الخطورة تسمح للمخترق أن يقوم بتجربة الدخول للنظام في وقت قصير لآلاف المرات بنفس الإتصال. ففي الوضع الإعتيادي يسمح برنامج OpenSSH للمستخدم من 3 الى 6 محاولات للدخول في نفس الإتصال قبل أن يتم فصله.
 
الباحث الامني المدعو KingCope كشف عن هذه الثغرة و طريقة استغلالها البسيطة على شكل منشور في مدونته. حيث ان اي اصدار من OpenSSH يعمل على اي نظام من انظمة تشغيل لينكس و تم تفعيل خاصية keyboard-interactive authentication يمكن تطبيق هذا الإستغلال عليه.
 
يمكن للمخترق أن يقوم بهذا الإستغلال عن طريق تجربة السطر التالي كمثال لإثبات الثغرة :
 
ssh -lusername -oKbdInteractiveDevices=`perl -e ‘print “pam,” x 10000’` targethost
 
حيث يسمح السطر السابق تجربة 10 الاف كلمة سرية في دقيقتين على الخادم او الجهاز المراد شن هجوم عليه. مما يجعل هذا الإستغلال من الطرق الناجحة للدخول للخادم وذلك عن طريق استخدام قواميس كلمات مرور يتم اعدادها مسبقا لتأدية هذا الغرض.
 
ولتجنب الوقوع ضحية لهذا النوع من انواع الهجوم فعليك كمدير للنظام أن تتبع الخطوات التالية وذلك لأنه لم يتم اصدار أي حل لهذه الثغرة الى الآن وهي تصيب جميع اصدارات OpenSSH بما فيها آخر إصدار:
 
– استخدم مفتاح تشفير مكون من 2048 بت.
– استخدم كلمات مرور قوية لحماية مقتاحك الخاص.
– قم بتقليل فترة السماح للإتصال ل 20 ثانية.
– قم بإستخدام ادوام مثل Fail2Ban للتقليل من عمليات الدخول الخاطئة.
 

لمتابعة المزيد من الأخبار و المقالات و الفيديوهات التعليمية, تابعونا على صفحتنا على موقع فيسبوك عبر الرابط التالي : صفحة موقع تكناوي.نت

عن محمد خريشة

مهندس حاسوب من الأردن مهتم ومهووس بكل ماله علاقة بالتقنية على اختلاف اصنافها, عملت و مازلت اعمل كمطور لمواقع الويب بشكل فردي, عملت بمؤسسات اردنية كمهندس شبكات ومن ثم مهندس انظمة و حماية و الآن أعمل كمدير لقواعد بيانات اوراكل بالإضافة الى ادراة خوادم *nix , لدي خبرة بالتعامل و ادارة نظام تشغيل OpenVMS و نظام البريد الإلكتروني Exchange Server من شركة مايكروسوفت . من اهتماماتي اثراء المحتوى التقني العربي بكل ما هو جديد.

اضف رد

لن يتم نشر البريد الإلكتروني . الحقول المطلوبة مشار لها بـ *

*

4 + 3 =

This site uses Akismet to reduce spam. Learn how your comment data is processed.