Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



Un nouveau type d'attaque distribuée sur les serveurs SSH

Par Rédaction, secuobs.com
Le 08/12/2008


Résumé : De récentes améliorations ont été identifiées dans le mode opératoire des attaques distribuées à destination des serveurs SSH. Les différentes machines d'un Botnet peuvent ainsi mieux se synchroniser afin d'optimiser leurs activités malveillantes de cassage par force brute.



Un nouveau type d’attaque distribuée aurait été récemment identifiée à l’encontre du protocole Secure Shell ( lien ) ; le protocole SSH permet de réaliser des opérations d’administration sur des serveurs distants via la mise en place de canaux chiffrés.

Les attaques distribuées de cette nature visent à casser un système d’authentification par force brute ( lien ) de par l’utilisation de dictionnaires ( lien ) et de processus de pré-calcul des combinaisons. La charge est alors répartie entre plusieurs machines distantes qui vont tester l’ensemble des couples, identifiant et mot de passe, possibles et imaginables afin de compromettre la cible.

Cette forme d’attaque n’est pas nouvelle ( lien ) en soi, l’innovation réside ici plus dans les capacités de coordination avancée entre chacune des machines utilisées dans le but de synchroniser leurs activités malveillantes. L’ensemble peut en fait s’apparenter à un réseau de type Botnet ( lien ) dirigé par un ou plusieurs centres de contrôle et de commande.

Concrètement, une des machines zombies essaye seulement quelques couples différents avant de passer la main à une seconde et ainsi de suite jusqu’à ce qu’un couple soit identifié comme fonctionnel. Les différentes machines, déjà utilisées, reviendront périodiquement dans le processus mais seulement après un laps de temps significatif. Cette période d’attente suffit pour leur permettre de déjouer les mesures défensives des systèmes actuels éventuellement en présence ; elles ne seront alors pas détectées par ceux-ci comme étant de nature pernicieuse.

Après plusieurs essais infructueux, des systèmes de protection comme DenyHosts ( lien ), BruteForceBlocker ( lien ) ou bien encore Fail2ban ( lien ) peuvent en effet bannir les adresses IP liées à ces machines en les ajoutant à une liste noire via un fichier à plat, une base de données ou une règle de filtrage. Cet ajout permet à l’avenir d’empêcher de nouvelles tentatives d’authentification sur le serveur SSH depuis les adresse IP identifiées comme source de malveillance.

Cette nouvelle menace peut être confirmée par la constatation d’une forte augmentation des activités ( lien ) autour du port 22, que ce soit pour les protocoles de transport UDP ou TCP ; ce port étant spécifique au protocole SSH. Cette augmentation est notamment constatée pour le mois de novembre vis-à-vis des activités habituelles de ce type, cependant l’attaque a, semble t-il, été identifiée dès le mois d’octobre ( lien ).

A noter que ce réseau ou ces réseaux de Botnet ne s’attaquent qu’à un seul serveur SSH à la fois et ne parallélisent donc pas les serveurs ciblés au sein des attaques. Il y a fort à parier que les machines compromises dans ce cadre, deviennent par la suite elles-mêmes des éléments actifs de ce processus à l’encontre d’autres serveurs présentant le service SSH.

Une première solution pourrait être d’affecter le service SSH à un autre port que le port standard ; bien que peu efficiente face à des attaques qui utilisent conjointement le scan de port et le fingerprinting applicatif ( lien ), cela pourrait au moins prémunir des attaques peu avancées en la matière.

L’utilisation d’une authentification par certificat ( lien ) est une bonne alternative à condition de ne pas laisser trainer d’informations sensibles à leur sujet n’importe où.

Source : Root Secure / Heise Security ( lien )