CSIRT Panamá Aviso 2015-07- Ataques de fuerza bruta en el teclado interactivo (keyboard-interactive) de autenticación en OpenSSH(CVE-2015-5600)
Gravedad: Media
Fecha de publicación: 24 de julio de 2015
Fecha de modificación: 24 de julio de 2015
Última revisión: Revisión A.
Fuente: CSIRT Panamá
Sistemas Afectados
OpenSSH 6.9 y versiones anteriores
Sistemas Operativos basados en GNU/Linux y BSD que utilicen estas versiones de OpenSSH
I. Descripción
Se ha reportado una vulnerabilidad en OpenSSH que podría permitir a un atacante realizar un ataques de fuerza bruta mediante una falla en la verificación del parámetro “MaxAuthTries” a través del teclado interactivo de autenticación (keyboard-interactive).
Cabe señalar que esta falla solo afecta a las configuraciones OpenSSH que tienen la opción “KbdInteractiveAuthentication” con el valor “YES” activo en sistemas OpenBSD. Esta opción se conoce como “ChallengeResponseAuthentication” en sistemas basados en GNU/Linux y la misma se encuentra deshabilitada en este tipo de sistemas. Por consiguiente, las configuraciones por defecto de OpenSSH en sistemas basados en GNU/Linux no son afectadas por esta vulnerabilidad. El equipo de OpenSSH ha creado un parche para esta vulnerabilidad y será incluida en OpenSSH 7.0 cuando sea liberada. El CVE asignado para esta vulnerabilidad es (CVE-2015-5600)
II. Impacto
Complejidad de acceso: Baja.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso parcial de la integridad del sistema + Compromiso parcial de la confidencialidad del sistema.
III. Referencia a soluciones, herramientas e información
Información acerca de la vulnerabiliadad
https://kingcope.wordpress.com/2015/07/16/openssh-keyboard-interactive-authentication-brute-force-vulnerability-maxauthtries-bypass/
http://seclists.org/fulldisclosure/2015/Jul/92
http://seclists.org/oss-sec/2015/q3/173
https://security-tracker.debian.org/tracker/CVE-2015-5600
https://bugzilla.redhat.com/show_bug.cgi?id=1245969
Parches
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth2-chall.c
http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/auth2-chall.c.diff?r1=1.42&r2=1.43&f=h