[SECURITY-L] CAIS-Alerta: Ataques de forca bruta contra o servico SSH
CSIRT - UNICAMP
security em unicamp.br
Qua Out 27 09:04:51 -03 2004
----- Forwarded message from Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br> -----
From: Centro de Atendimento a Incidentes de Seguranca <cais em cais.rnp.br>
Subject: CAIS-Alerta: Ataques de forca bruta contra o servico SSH
To: rnp-alerta em cais.rnp.br, rnp-seg em cais.rnp.br
Date: Tue, 26 Oct 2004 17:09:43 -0300 (BRST)
-----BEGIN PGP SIGNED MESSAGE-----
Prezados,
O CAIS esta' acompanhando desde meados de Agosto um aumento de atividade anomala
cujo alvo e' o servico SSH. Esta atividade foi detectada em sensores do CAIS,
incidentes reportados e em listas de discussao diversas.
Trata-se de uma ferramenta de forca bruta contra o servico SSH, brutessh2,
tornada publica em 20 de Agosto. O brutessh2 usa um conjunto de 2823 duplas
usuario/senha para tentar obter acesso ao servico. Os usuarios unicos utilizados
sao:
admin
guest
root
test
user
A utilizacao desta ferramenta contra um sistema produz o seguinte resultado no
arquivo de log (/var/log/secure).
Oct 26 02:37:58 lab sshd[19081]: Failed password for guest from xxx.yyy.aaa.bbb port 2525 ssh2
Oct 26 02:38:02 lab sshd[19099]: Failed password for invalid user test from xxx.yyy.aaa.bbb port 2628 ssh2
Oct 26 02:38:03 lab sshd[19115]: Failed password for root from xxx.yyy.aaa.bbb port 2678 ssh2
Oct 26 02:38:11 lab sshd[19177]: Failed password for admin from xxx.yyy.aaa.bbb port 2921 ssh2
Oct 26 02:38:13 lab sshd[19183]: Failed password for invalid user user from xxx.yyy.aaa.bbb port 2990 ssh2
Oct 26 02:38:50 lab sshd[19477]: Failed password for root from xxx.yyy.aaa.bbb port 4167 ssh2
Sistemas afetados:
. Servico SSH, na existencia de usuarios com senhas triviais
Correcoes disponiveis:
Nao ha correcoes disponiveis por nao se tratar de uma vulnerabilidade no
servico SSH. Entretanto, existem maneiras simples de se contornar o problema:
. uso de senhas nao triviais;
. restringir o acesso remoto do usuario root, passando a usar utilitarios
como "sudo" e/ou "su";
. concessao de acesso ao servico SSH somente a hosts conhecidos por meio
da adicao de regras a um filtro de pacotes.
Mais informacoes:
. SSH Remote Root password Brute Force Cracker Utility
http://www.k-otik.com/exploits/08202004.brutessh2.c.php
O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos
sempre atualizados, de acordo com as ultimas versoes e correcoes
oferecidas pelos fabricantes.
Os Alertas do CAIS tambem sao oferecidos no formato RSS/RDF:
http://www.rnp.br/cais/alertas/rss.xml
Atenciosamente,
################################################################
# CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) #
# Rede Nacional de Ensino e Pesquisa (RNP) #
# #
# cais em cais.rnp.br http://www.cais.rnp.br #
# Tel. 019-37873300 Fax. 019-37873301 #
# Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key #
################################################################
-----BEGIN PGP SIGNATURE-----
Version: PGP 6.5.8
iQCVAwUBQX6vD+kli63F4U8VAQEyLQP9GWq7tjVJSA2YjsgBImGr8PxT1O+aKYpr
xjpLzITZ+WHlq88eKhjBKrFi5TwHEoZKtnX0imwcGZgR65crZmEdGXFRTi5WdSY/
lP92MDxccX4TGuSujpygWfUJbsunVlNfQ75C5DqGT+AY0ZFI/kxNoyEkMH8+Vyzb
JQu8qBQjXw4=
=sTG8
-----END PGP SIGNATURE-----
----- End forwarded message -----
Mais detalhes sobre a lista de discussão SECURITY-L