OpenSSH anfällig für Bruteforce-Angriffe
Die eingestellte Grenze der maximal möglichen Passwort-Angaben vor einem Verbindungsabbruch lässt sich in einigen Konfigurationen recht einfach austricksen.
Der Hacker kingcope veröffentlichte einen Trick, mit dem man OpenSSH sehr effizient mit Wörterbüchern gängiger Passwörter angreifen kann. Normalerweise beendet OpenSSH nach sechs falschen Eingaben die Verbindung; ein Neuaufbau verzögert das Abarbeiten langer Passwort-Listen deutlich.
Um das zu vermeiden, öffnet der von kingcope angegebene SSH-Befehl 10.000 Anmelde-Devices, die jeweils Login-Versuche erlauben. Damit begrenzt praktisch nur noch der Timeout von zwei Minuten für einen erfolgreichen Login die Zahl der möglichen Anmeldeversuche über einen Verbindung.
kingcopes Exploit funktioniert nur, wenn die Authentifizierungs-Methode keyboard-interactive erlaubt ist; das soll etwa auf FreeBSD-Systemen standardmäßig der Fall sein. Auf einem getesteten Ubuntu-System schlug der Exploit fehl; keyboard-interactive ist dort auch standardmäßig nicht aktiv. Eine Reaktion der OpenSSH-Entwickler steht noch aus. Der beste Schutz gegen BruteForce-Attacken auf SSH ist die Beschränkung der Anmeldung auf Public-Key-Logins. Alternativ kann man etwa mit fail2ban oder passenden iptables-Regeln exzessive Login-Versuche sperren.
(ju)
