Falla de seguridad peligrosa Probable solo un engaño

Un reclamo de una vulnerabilidad de software en un programa utilizado para conectarse de manera segura a servidores a través de Internet es probablemente un engaño, según un analista del SANS Internet Storm Center.

El programa, llamado OpenSSH (Secure Shell), está instalado en decenas de millones de servidores hechos por proveedores como Red Hat, Hewlett-Packard, Apple e IBM. Los administradores lo usan para realizar conexiones cifradas con otras computadoras y realizar tareas tales como la actualización remota de archivos. OpenSSH es la versión de código abierto y hay versiones comerciales del programa.

A principios de esta semana, SANS recibió un correo electrónico anónimo que alegaba una vulnerabilidad de día cero en OpenSSH, lo que significa que ya existe un error en el software. siendo explotado cuando se vuelve público. Es el tipo más peligroso de vulnerabilidad de software, ya que significa que todavía no hay una solución y los chicos malos lo saben.

[Más información: cómo eliminar el malware de su PC con Windows]

Una verdadera vulnerabilidad de día cero en OpenSSH podría ser devastador para Internet, permitiendo a los piratas informáticos tener acceso de carta blanca a los servidores y PC hasta que se prepare una solución o un parche.

"Por eso creo que la gente está creando realmente un pánico", dijo Bojan Zdrnja, analista de SANS y consultor senior de seguridad de la información en Infigo, una empresa de pruebas de seguridad y penetración en Zagreb, Croacia. "La gente no debería entrar en pánico en este momento. Nada en este momento indica que se está utilizando un exploit en la naturaleza".

La evidencia de una verdadera vulnerabilidad de día cero en OpenSSH es débil, dijo Zdrnja. Hasta el momento, los analistas no han visto un exploit activo, a pesar de las preocupaciones de que un grupo llamado Anti-Sec haya encontrado un día cero que les permitió controlar un servidor web. Los detalles sobre el truco se publicaron en la Divulgación completa, que es un foro no moderado para la información de seguridad.

Cuando se presionó para obtener más detalles, una persona que afirma ser parte de Anti-Sec escribió un correo electrónico al Servicio de Noticias de IDG diciendo " No estoy autorizado a discutir el exploit (o si existe o no) ", que fue firmado" Anonymous ".

Zdrnja dijo que el mismo grupo había comprometido a otro servidor recientemente, pero parecía ser un ataque de fuerza bruta contra OpenSSH. Un ataque de fuerza bruta es cuando un pirata informático intenta muchas combinaciones de credenciales de autenticación para obtener acceso a un servidor. Si un administrador está utilizando el inicio de sesión simple y las contraseñas, hace que un servidor sea más vulnerable a un ataque de fuerza bruta, dijo Zdrnja.

Los dos servidores comprometidos fueron administrados por la misma persona. "Supongo que lo que estamos tratando aquí son dos piratas informáticos en una guerra entre ellos", dijo Zdrnja.

Pero hay otros factores que indican que no existe un día cero para OpenSSH. Si existiera el día cero, los piratas informáticos probablemente tendrían más probabilidades de usarlo contra un servidor de mayor perfil que el más reciente comprometido, dijo Zdrnja.

Uno de los desarrolladores de OpenSSH, Damien Miller, también arrojó agua fría. sobre la posibilidad de un día cero. Miller escribió en un foro de OpenSSH el miércoles que intercambió correos electrónicos con una supuesta víctima del día cero, pero los ataques parecían ser de "simple fuerza bruta".

"Entonces, no estoy convencido de que un día cero existe en absoluto ", escribió Miller. "La única evidencia hasta el momento son algunos rumores anónimos y transcripciones de intromisión no verificables".

También parece haber cierta confusión entre la supuesta vulnerabilidad de día cero y otra diferente en OpenSSH, dijo Zdrnja. Esa vulnerabilidad, que aún no está parcheada, podría permitir que un atacante recupere hasta 32 bits de texto sin formato de un bloque arbitrario de texto cifrado de una conexión protegida mediante el protocolo SSH en la configuración estándar, según un aviso del Reino Unido. s Centro para la Protección de la Infraestructura Nacional (CPNI).

La gravedad de la vulnerabilidad se considera alta, pero la posibilidad de una explotación exitosa es baja, según CPNI. Zdrnja dijo que los administradores pueden implementar mecanismos de autenticación más fuertes en OpenSSH usando claves públicas y privadas para protegerse contra un ataque exitoso. En un aviso, OpenSSH también afirmó que la posibilidad de un ataque exitoso era baja.