Una nueva vulnerabilidad en el protocolo de autenticación interactiva de OpenSSH podría permitir el uso de fuerza bruta para adivinar la contraseña.
Aunque normalmente OpenSSH permite de tres a seis intentos de inicio de sesión antes de cerrar la conexión, el investigador Kingcope publicó una vulnerabilidad que permitiría saltarse esta limitante, ya que existe una ventana de unos 2 minutos durante la cual un atacante podría probar por lo menos 10.000 contraseñas distintas antes de que el software cierre la conexión.
Aparentemente esto es debido a que es posible abrir 10.000 ventanas de dispositivos de inicio de sesión interactivo a través de teclado y OpenSSH ejecutará la solicitud sin problemas y estaría aceptando contraseñas hasta que el número de dispositivos especificados sea excedido.
Se ha publicado una prueba de concepto que funciona con una versión de OpenSSH para FreeBSD publicada en el 2007, pero aparentemente funciona con la última versión de OpenSSH la cual es la 6.9.
Aunque aparentemente es una vulnerabilidad bastante grave, cuyo potencial de explotación es amplio, los investigadores dicen que la mayoría de los servicios que usan OpenSSH publicado hacia Internet, usan autenticación con llaves criptográficas, en cuyo caso es improbable la explotación de esta falla.
Como recomendación, para aquellos que no estén usando llaves criptográficas para autenticación, deberían pensar en usarlas, y los que ya las usan, verificar la robustez de la clave, siendo recomendada una longitud mínima de 2.048 bits. Además, se debe proteger la clave privada con una contraseña fuerte. Otra forma de mitigar el fallo es usar la limitación de velocidad para evitar la inyección de 10.000 contraseñas en dos minutos.
Aunque aún no se han pronunciado por el parche, se espera que OpenSSH lo arregle en poco tiempo. Se recomienda actualizar a la brevedad aunque uses autenticación por pareja de llaves, pues los delincuentes siempre encuentran formas innovadoras de usar estos bugs.
Fuente: ArsTechnica
