SSH 서버 제로 데이 익스플로잇-자신을 보호하기위한 제안


13

인터넷 스톰 센터 (Internet Storm Center) 에 따르면 SSH 제로 데이 익스플로잇이있는 것으로 보인다.

여기에 몇 가지 개념 증명 코드와 참조가 있습니다.

이것은 심각한 문제인 것처럼 보이므로 모든 Linux / Unix 시스템 관리자는주의해야합니다.

이 문제가 정시에 패치되지 않은 경우 어떻게 우리 자신을 보호합니까? 아니면 일반적으로 제로 데이 익스플로잇을 어떻게 처리합니까?

* 응답에 제안을 게시합니다.


이게 얼마나 진짜입니까? 약간의 googletrolling은 seclists.org/fulldisclosure/2009/Jul/0028.html을이 소문의 가장 원천으로 설정했습니다. 누구든지 이것에 대한 독립적 인 검증을 받았습니까?
chris

이 문제에 대한 해커 뉴스에 대한 많은 좋은 의견 : news.ycombinator.com/item?id=692036
sucuri

답변:


6

Damien Miller (OpenSSH 개발자)의 의견 : http://lwn.net/Articles/340483/

특히, 그가 제공 한 패킷 추적을 분석하는 데 시간을 보냈지 만 단순한 무차별 대입 공격으로 구성되어있는 것 같습니다.

따라서 0 일이 전혀 존재하지 않는다고는 생각하지 않습니다. 지금까지 유일한 증거는 익명의 소문과 검증 할 수없는 침입 기록입니다.


나는 우리가 지금 그의 말을 할 수 있다고 생각합니다.
sucuri

11

내 제안은 IP 이외의 모든 사람에게 방화벽의 SSH 액세스를 차단하는 것입니다. iptables에서 :

/sbin/iptables -A INPUT --source <yourip> -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 22 -j DROP

5

따라서 SANS 게시물에 따르면이 악용 does not work against current versions of SSH은 실제로 0 일이 아닙니다. 서버를 패치하면 괜찮을 것입니다.


2
기술적으로는 0 일 악용 (게시 및 알 수 없음)이지만 이전 버전의 SSH에서만 작동합니다. 그러나 RHEL의 기본 버전 인 Fedora는 취약합니다 (두 번째 게시물에 따라). 따라서 배포판에 패치가없는 경우 큰 문제입니다 (일반적이지 않은 소스의 ssh를 사용하지 않는 한).
sucuri

1
그들은 공격 로그를 기반으로 추측하고 있습니다. 아무도 모릅니다 ... 최신 버전조차 취약 할 수 있습니다
sucuri


3

이야기의 원천 인 참고 : http://romeo.copyandpaste.info/txt/ssanz-pwned.txt

astalavista.com 및 다른 사이트를 해킹하는 유사한 스토리도 있습니다. romeo.copyandpaste.info/txt/astalavista.txt
romeo.copyandpaste.info/txt/nowayout.txt

누군가가 의제를 가지고있는 것 같습니다 : romeo.copyandpaste.info/ ( "0days private 유지")


동의했다. 이것을 시작한 원래 로그 뒤에있는 그룹은 "보안 산업"을 망칠 미션 선언문을 가지고 있습니다. "omg! openssh 0day?"에 대해 모든 사람들을 소란스럽게하는 것보다 더 나은 방법은 무엇입니까? "해킹 / 해킹?"
cji

그런 소문과 과대 광고가 허위로 판명 된 것은 이번이 처음이 아닙니다.
Dan Carley

2

tcprules를 사용하기 위해 SSH를 컴파일하고 소수의 허용 규칙을 사용하여 다른 모든 것을 거부합니다.

또한 암호 시도가 거의 제거되고 침입 시도에 대한 보고서가 전송 될 때 심각하게 처리 할 수 ​​있습니다.


2

포트 22에서 ssh를 실행하지 않습니다. 종종 다른 컴퓨터에서 로그인하기 때문에 iptables 를 통한 액세스를 방지하는 것을 좋아하지 않습니다 .

이는 제로 데이 공격 에 대한 훌륭한 보호 기능 입니다. 기본 구성 후에 반드시 적용됩니다. 내 서버 만 손상시키려는 사람에게는 효과적이지 않습니다. 포트 스캔은 ssh를 실행중인 포트를 보여 주지만 임의의 SSH 포트를 공격하는 스크립트는 내 호스트를 건너 뜁니다.

포트를 변경하려면 / etc / ssh / sshd_config 파일 에서 포트 를 추가 / 수정 하십시오.


비표준 포트에서 SSH를 실행하면 공격이받는 무차별 대입 공격의 양이 줄어들고 대부분의 웜으로부터 사용자를 보호 할 수 있습니다. 그것은 수동으로 물건을 스캔하는 사람에 대한 방어가 아니며, 웜은 앞으로 ssh를 찾는 모든 포트를 포트 스캔 할 수 있습니다 (쉽고 시간이 많이 소요됨)
MarkR

@MarkR : 결정된 '크래커 / 키티 / 해커'를 막을 수는 없지만 픽스가 릴리스 될 때까지 봇을 계속 유지합니다. 그것은 가장 중요한 imho입니다.
Andrioid

2

나는 방화벽과 기다릴 것입니다. 내 직감은 두 가지 중 하나입니다.

A> 사기. 지금까지 주어진 작은 정보와 미스 정보에 따르면

또는...

B> 4.3 이상의 우려를 유발하는 "연기 및 속임수"시도. 왜? 일부 해커 조직이 sshd 5.2에서 정말 멋진 제로 데이 익스플로잇을 발견하면 어떻게 될까요?

최첨단 릴리스 (Fedora)에는이 버전이 포함되어 있습니다. 실제 기업에서는 이것을 사용하지 않습니다. RHEL / CentOS를 많이 사용하십시오. 큰 목표. 잘 알려진 RHEL / CentOS는 모든 보안 수정 프로그램을 기본 버전 제어를 유지하기 위해 모든 백 포트를 백 포트합니다. 이것 뒤에 팀은 재채기해서는 안됩니다. RHEL은 4.3에서 결함을 찾기위한 모든 시도를 다했다는 것을 게시했습니다 (읽고 링크를 파야 할 것입니다). 가볍게 할 말이 없습니다.

다시 생각으로 돌아갑니다. 해커는 어떻게 든 4.3 정도의 약동을 일으켜 대량 히스테리를 UG에서 5.2p1로 만듭니다. 나는 묻습니다. 이미 몇 명이 있습니까?

잘못된 방향에 대한 "증거"를 만들려면 지금 "모든 그룹"이 이전에 손상된 시스템 ( WHMCS ? 이전 SSH?)을 인계 하고 반 사실이있는 로그를 작성합니다 (공격 확인 됨 "뭔가") 누군가가 "물고"있기를 바라면서, 목표에 의해 검증 할 수없는 것들이 발생했습니다. 점점 커지는 불안과 혼란 속에서 좀 더 진지하게하기 위해 과감한 무언가 (... HostGator ...)를 수행하는 하나의 더 큰 실체 만 있으면됩니다.

많은 대기업이 백 포트 할 수 있지만 일부는 업그레이드 만 할 수도 있습니다. 업그레이드 된 제품은 현재 공개되지 않은 실제 제로 데이 공격에 노출됩니다.

나는 낯선 일이 일어나는 것을 보았다. 수많은 유명인들이 계속 죽어가는 것처럼 ...


0

텔넷으로 전환 하시겠습니까? :)

농담으로, 방화벽을 올바르게 구성한 경우 이미 몇 개의 호스트에 대한 SSH 액세스 만 허용하고 있습니다. 그래서 당신은 안전합니다.

빠른 수정 방법은 최신 Linux 배포판에있는 이전 버전을 사용하는 대신 소스에서 SSH를 설치하는 것 (openshsh.org에서 다운로드)입니다.


Kerberos화된 텔넷은 실제로 합리적으로 안전합니다. kerberos의 좋은 점은 각 호스트를 방문하고 각 authorization_keys 파일에서 키를 제거 해야하는 ssh와 달리 원하는 경우 중앙에서 키를 취소 할 수 있다는 것입니다.
chris
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.