OpenSSH-gebruikersnamen door kwetsbaarheid te achterhalen

[Captain Kirk]

Een beveiligingslek in OpenSSH maakt het mogelijk voor aanvallers om op afstand gebruikersnamen te achterhalen, waarmee mogelijk vervolgaanvallen zijn uit te voeren. "Dit beveiligingslek produceert geen lijst van geldige gebruikersnamen, maar maakt het mogelijk om gebruikersnamen te raden", zegt onderzoeker Didier Stevens van securitybedrijf Nviso.

Door een misvormd public key authenticatiebericht naar een OpenSSH-server te sturen kan het bestaan van een bepaalde gebruikersnaam worden vastgesteld. Als de gebruiker niet bestaat zal er een bericht naar de client worden gestuurd dat de authenticatie is mislukt. Wanneer de gebruiker wel bestaat, zal het niet kunnen parsen van het bericht ervoor zorgen dat de communicatie wordt afgebroken. De verbinding wordt dan zonder het terugsturen van een bericht gesloten.

Volgens Stevens doet de kwetsbaarheid zich voor omdat communicatie over het niet bestaan van een gebruikersnaam zich voordoet voordat het bericht volledig wordt verwerkt. De kwetsbaarheid werd via een commit op het ontwikkelaarsplatform GitHub openbaar gemaakt en proof-of-concept-exploits zijn beschikbaar. "Er zijn momenteel nog maar beperkt updates beschikbaar om deze kwetsbaarheid te verhelpen", aldus het Nationaal Cyber Security Centrum (NCSC). Voor Debian (Jessie) 8.0 is er een update beschikbaar gekomen. Stevens laat weten dat de kwetsbare authenticatiemechanismen van OpenSSH kunnen worden uitgeschakeld totdat er een patch beschikbaar en uitgerold is.

 

 

bron: security.nl