Rootshell (www.rootshell.com) es un conocido sitio entre hackers y expertos de seguridad por su amplia base de datos con exploits y vulnerabilidades de todos tipo de sistemas. Por ello, lógicamente el ataque sufrido no ha pasado por alto y mucho menos la información proporcionada asegurnado que la entrada fue realizada a través de SSH.
El SSH (Secure Shell) es un software que permite a los usuarios acceder a otros ordenadores a través de una red, ejecutar comandos en sistemas remotos y mover ficheros de una máquiina a otra. Todo ello a través de un fuerte sistema de autentificación y comunicaciones encriptadas sobre canales inseguros.
Este software está producido por SSH Communications Security, Ltd., Finland (www.ssh.fi). Distribuido para usos no comerciales desde ftp://ftp.cs.hut.fi/pub/ssh; y distribuido de forma comercial por Data Fellows, Ltd. (www.datafellows.com).
La propia SSH se dio prisa en realizar un estudio del problema y en asegurar que no han encontrado ninguna vulnerabilidad en su software (http://www.ssh.fi/sshprotocols2/rootshell.html) por otra parte, el Laboratorio de Análisis de Seguridad Global de la no menos conocida IBM ha identificado una vulnerabilidad en el servidor del SSH. (sshd).
IBM tan sólo ha anunciado la posibilidad de buffer overflows en el código del SSH
1.2.26 aun no existe el código de ningún exploit que haga uso de estas vulnerabilidades. Uanque Rootshell afirma que ya empiezan a circular algunos exploits en determinados círculos.
Todo el problema proviene de la función «log_msg», a la que se hacen llamadas en multiples puntos del servidor para enviar información al log del sistema. Esta función hace copias de los datos que introduce el usuario en un buffer local sin chequear el contenido de estos datos. Cuando se dan grandes cantidades de datos puede ocurrir un error de buffer overflow.
De esta forma, si un usuario puede provocar un buffer overflow explotando esta vulnerabilidad, podrá ser posible la entrada de instrucciones en código máquina que podrán ser ejecutadas con los privilegios del usuario que ejecutó el «sshd» usualmente el root. Esta vulnerabilidad puede ser explotada de forma local o remota, ni siquiera es necesario disponer de una cuenta en el sistema para llevar a cabo este exploit..
Este problema afecta a las versiones 1.2.x del servidor SSH, por lo que se recomienda actualizar todos los servidores que empleen este sistema a la versión 2.0.x.
Antonio Ropero
No hay comentarios:
Publicar un comentario