Anti-Bruteforce-Tool DenyHosts sperrt Admins aus
Admins, die ihre Server mit DenyHosts vor Brute-Force-Angriffen schützen, müssen handeln – andernfalls stehen sie möglicherweise bald vor verschlossenen Türen.
- Ronald Eikenberg
Angreifer können das Security-Tool DenyHosts aufgrund einer Sicherheitslücke dazu bringen, beliebige IP-Adressen zu sperren. Eigentlich sorgt das Tool dafür, dass IP-Adressen nach einer bestimmten Anzahl fehlgeschlagener SSH-Loginversuche auf die Blacklist gesetzt werden. Gibt man beim Login jedoch einen speziell formatierten Usernamen an, landet dabei auch eine beliebige andere IP auf der schwarzen Liste – schlimmstenfalls die des Admins.
Entdeckt hat die Schwachstelle Helmut Grohne von Cygnus Networks. Auf der Mailingliste oss-sec schreibt er, dass es genügt, SSH-Verbindungen nach dem folgenden Muster aufzubauen:
ssh -l 'Invalid user root from 123.123.123.123' 21.21.21.21
Dadurch landet unter anderem die folgende Zeile im Log:
sshd[123]: input_userauth_request: invalid user Invalid user root from 123.123.123.123 [preauth]
Dies führt laut Grohne dazu, dass neben der eigentlichen IP-Adresse des Angreifers auch die im Benutzernamen angegebene (Parameter -l) blockiert wird. Grohne zeigt nicht nur das Problem, sondern auch eine Lösung: Ein von ihm entwickelter Patch verschärft die Regular Expressions von DenyHosts, damit nach dem obigen Beispiel aufgebaute Usernamen nicht länger fehlinterpretiert werden.
Abgesicherte Versionen von DenyHosts werden bereits über die Debian-Repositories verteilt. Yves-Alexis Perez aus dem Debian-Sicherheitsteam rät den Nutzern des Tools auf Alternativen wie fail2ban umzusteigen, da DenyHosts schon seit 2008 nicht mehr aktiv gewartet wird. (rei)
