Re: una-al-dia (26/08/2008) El problema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes
El miércoles, 27 agosto del 2008 a las 07:05:01, noticias@hispasec.com escribió:
>
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> -------------------------------------------------------------------
> Hispasec - una-al-día 26/08/2008
> Todos los días una noticia de seguridad www.hispasec.com
> -------------------------------------------------------------------
>
> El problema criptográfico de Debian parece estar siendo aprovechado
> activamente por atacantes
> -------------------------------------------------------------------
>
> US-CERT está advirtiendo a los administradores de que, posiblemente, el
> famoso problema en la generación de números aleatorios que sufrió
> OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado
> (probablemente de forma automática) para instalar rootkits en servidores
> Linux vulnerables.
>
> En mayo la criptografía sufrió un grave revés. Se descubrió que el
> generador de números aleatorios del paquete OpenSSL de Debian era
> predecible. Las claves generadas con él en los últimos dos años ya no
> eran fiables o verdaderamente seguras. A efectos prácticos, se podría
> deducir la clave privada a partir de la pública de los usuarios, con lo
> que la criptografía asimétrica dejaba de ser fiable para la
> autenticación y para la confidencialidad. Pronto se generó todo el
> espacio posible de claves vulnerables (públicas y privadas) y se
> desarrollaron exploits específicos para poder acceder a sistemas SSH
> protegidos con criptografía pública.
>
> Los administradores que controlan sus sistemas a través de SSH se suelen
> autenticar a través de su clave privada (el servidor de SSH almacena la
> pública correspondiente). Esta es una alternativa a la autenticación a
> través de la clásica contraseña simétrica. Si la pareja de claves ha
> sido generada con el OpenSSL vulnerable, se puede hacer un ataque de
> fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos
> 20 minutos con un ordenador de hoy día. Los que hayan protegido el uso
> de las claves con contraseña, están en principio a salvo.
>
> Aunque el US-CERT no habla de este problema en concreto, probablemente
> es el que está siendo aprovechado para llevar a cabo estos ataques
> durante estos días. Los atacantes están intentando acceder a servidores
> con SSH activo, protegido por criptografía pública y claves privadas
> vulnerables. Con esto consiguen acceso de forma fácil al sistema. Si el
> kernel no está actualizado, utilizan algún exploit para conseguir acceso
> local como root (existen decenas) y una vez dentro, instalan el rootkit
> Phalanx2 que les permite (entre otras cosas) obtener otras claves SSH
> para acceder a otros sistemas.
>
> En el apartado de más información se ofrece información sobre cómo
> detectar el rootkit.
>
> Como advertíamos en mayo, el problema criptográfico del paquete OpenSSL
> de Debian traerá de cabeza a los administradores durante mucho tiempo.
> Fueron casi dos años de generación de claves vulnerables en cientos de
> miles de máquinas, y pasará mucho tiempo hasta que todos los
> administradores parcheen sus sistemas y sobre todo, vuelvan a generar
> sus claves públicas y privadas con un sistema actualizado.
>
> Opina sobre esta noticia:
> http://www.hispasec.com/unaaldia/3594/comentar
>
> Más información:
>
> Active attacks using stolen SSH keys
> http://isc.sans.org/diary.php?storyid=4937
>
> SSH Key-based Attacks
> http://www.us-cert.gov/current/#ssh_key_based_attacks
>
> 16/05/2008 Preguntas frecuentes sobre el problema critptográfico de Debian
> http://www.hispasec.com/unaaldia/3492
>
> 14/05/2008 Graves problemas en el algoritmo que genera los números
> aleatorios en Debian
> http://www.hispasec.com/unaaldia/3490
>
>
> Sergio de los Santos
> ssantos@hispasec.com
Buenas, os paso esta noticia de la lista de correo hispasec por su obvia
importancia para nosotros.
Un saludo.
Reply to: