SSH und AnonCVS lassen sich von Spammern missbrauchen
Auf Bugtraq ist ein Posting erschienen, das sich mit dem möglichen Missbrauch von SSH-Zugängen für Spamming beschäftigt, wenn Port-Forwarding aktiviert ist und anonymer Zugriff möglich ist.
Auf Bugtraq ist ein Posting erschienen, das sich mit dem möglichen Missbrauch von SSH-Zugängen für Spamming beschäftigt. Dazu muss der SSH-Server TCP-Port-Forwarding unterstützen, was in der Standardkonfiguration der Fall ist. Zusätzlich ist ein öffentlich bekanntes Konto erforderlich, wie es etwa bei anonymen CVS-Repositories (AnonCVS) üblich ist. CVS selbst unterstützt keine verschlüsselte Kommunikation und bedient sich deshalb einer SSH-Verbindung. Einige CVS-Server verlassen sich hier nur auf die CVS-Authentifizerung, der Aufbau einer SSH-Session ist dort jedermann mit öffentlich verfügbaren Kontodaten zugänglich.
Mit dem Port-Forwarding leitet man eine Verbindung auf einen anderen Server -- allerdings unverschlüsselt -- weiter. Da ein Angreifer selbst die IP-Adresse und den Port des Zielsystems angeben kann, lassen sich so die schon früher unter FTP bekannten Bouncing-Attacken durchführen. Beispielsweise können Spammer so unerkannt einen Server zum Absetzen von Mails benutzen. Auch Systeme hinter einer Firewall lassen sich so unter Umständen angreifen.
Um den Missbrauch zu vermeiden, haben nach Angaben des Autors kürzlich einige CVS-Repositories das Port-Forwarding deaktiviert, darunter auch OpenBSD. Andere Anwender sollten nachziehen und unter OpenSSH in der Datei /etc/ssh/sshd_config die Option "AllowTcpForwarding no" setzen.
Siehe dazu auch: (dab)
- Security Advisory zu SSHD / AnonCVS Port Bouncing Nastyness
