OpenSSH

Продукт
Разработчики: The OpenBSD Foundation
Дата премьеры системы: 2022/04/08
Дата последнего релиза: 2024/06/07
Технологии: ИБ - Аутентификация,  ИБ - Средства шифрования

Содержание

Основные статьи:

OpenSSH — это основной инструмент для удаленного входа в систему по протоколу SSH. Он шифрует весь трафик для предотвращения прослушивания, перехвата соединения и других атак. Кроме того, OpenSSH предоставляет большой набор возможностей безопасного туннелирования, несколько методов аутентификации и различные варианты конфигурации.

2024

В популярном сервере удаленного доступа OpenSSH обнаружена опасная уязвимость. ФСТЭК предупреждает

В популярном средстве защищённого удалённого доступа — сервере OpenSSH — была обнаружена достаточно опасная уязвимость. Об этом предупреждает ФСТЭК. Ее название BDU:2024-04914[1] в базе данных угроз и уязвимостей, однако в широких кругах она получила собственное имя — regreSSHion. Это не первая уязвимость в средстве криптографической защиты, получившая собственное имя — в 2014 году в OpenSSL была обнаружена ошибка, получившая наименование Heartbleed.

Исследователи компании Qualys[2] обнаружили, что процесс сервера OpenSSH — sshd — может быть введён в состояние гонки обработчиков сигналов, что позволяет перезаписать память и выполнить неаутентифицированный удаленный код с привилегиями суперпользователя (root). Ошибка точно срабатывает в системах Linux на базе glibc, а вот про Windows и macOS подтверждений пока нет. Возможность совершения атаки продемонстрирована на 32-разрядной системе с Glibc с включённой защитой от переполнения буфера ASLR (рандомизация адресного пространства). Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью.

Уязвимость появилась в результате регрессивного изменения, вошедшего в состав выпуска OpenSSH 8.5 и приводящего к состоянию гонки в коде обработки сигналов в sshd. Именно поэтому она и получила название regreSSHion. Внесенные изменения привели к прекращению действия защиты от старой уязвимости CVE-2006-5051, обнаруженной до версии OpenSSH 4.4 (2006 год) и носившей теоретический характер. Ошибка исправлена в OpenSSH 9.8p1.

«
Не только в России, но и в мире OpenSSH – один из популярнейших компонентов серверного ПО, — прояснил для TAdviser технический директор «Гарда WAF» Лука Сафонов. — Использование эксплойта данной уязвимости крайне опасно, об этом говорит значение уровня опасности CVSS — 8.1.
»

«
OpenSSH – популярный сервис в нашей стране, — подтвердил TAdviser Дмитрий Калинин, руководитель департамента по работе с уязвимостями и инцидентами ИБ системного интегратора «Бастион». — Прежде всего это связано с тем, что помимо серверов и рабочих станций он повсеместно используется в сетевом оборудовании (роутерах, маршрутизаторах, межсетевых экранах и т.п.). Встречаются как последние версии, которые до выхода указанной уязвимости считались безопасными, так и более старые, где есть известные уязвимости. В связи с этим эксплуатация данной уязвимости несет очень высокие риски.

Единственным сдерживающим фактором может выступать то, что протокол SSH, реализацию которого представляет собой OpenSSH, зачастую является внутренним протоколом. То есть используется в так называемых management сетях и в корректно настроенной с точки зрения безопасности инфраструктуре, недоступен из сети Интернет или доступен только с определенных IP-адресов.

»

Qualys поделилась подробным разбросом regreSSHion, но не публикует примеров ее эксплуатации, чтобы не стимулировать вредоносную активность. По данным компании по всему миру около 700 тыс. систем, подключенных к Интернету, могут быть уязвимы для данной уязвимости. В России по данным сервиса ZoomEye.hk находится почти 4 млн серверов OpenSSH. Однако насколько они уязвимы – не очень понятно. Компания Qualys предоставила индикаторы компрометации, с помощью которых любой владелец сервера на базе OpenSSH может выявить возможные атаки.

Статистика ZoomEye.hk по распространению серверов OpenSSH в различных странах

«
В связи выявлением данной уязвимости специалисты Центра противодействия киберугрозам Innostage CyberART рекомендуют выполнить обновление ПО OpenSSH до версии 9.8p1, – озвучил TAdviser свои рекомендации для владельцев OpenSSH Альберт Антонов, руководитель группы OSINT центра противодействия киберугрозам SOC CyberART Innostage. – В качестве временных компенсирующих мер возможны следующие действия:

»

  • В sshd_config выставить параметр "LoginGraceTime=0", при этом отключение таймаута упростит инициирование отказа в обслуживании при установке большого числа соединений, превышающих лимиты, заданные через параметр "MaxStartups".
  • Ограничить доступ по SSH с помощью сетевых средств управления путем внедрения белого списка IP-адресов для минимизации рисков атак.

Сама ФСТЭК также рекомендует максимально быстро установить обновления. Но если это по какой-то причине невозможно, то можно предпринять следующие компенсирующие меры:

  • для ограничения возможности эксплуатации в sshd_config выставить параметр «LoginGraceTime=0»;
  • установить для LoginGraceTime значение 0 в /etc/ssh/sshd_config и перезапустить sshd;
  • использовать антивирусное ПО для отслеживания попыток эксплуатации уязвимости;
  • использовать средства межсетевого экранирования для ограничения возможности удалённого доступа.

Встроенная защита от атак по подбору паролей

В кодовую базу OpenSSH добавлена встроенная защита от автоматизированных атак по подбору паролей, в ходе которых боты пытаются угадать пароль пользователя, перебирая различные типовые комбинации. Для блокирования подобных атак в файл конфигурации sshd_config добавлен параметр PerSourcePenalties, позволяющий определить порог блокировки, срабатывающий при большом числе неудачных попыток соединений с одного IP-адреса. Данный механизм защиты войдёт в состав следующего выпуска OpenSSH и будет включён по умолчанию в OpenBSD 7.6. Об этом стало известно 7 июня 2024 года.

При включении защиты процесс sshd начинает отслеживать статус завершения дочерних процессов, определяя ситуации когда не прошла аутентификация или когда процесс был аварийно завершён из-за сбоя. Большая интенсивность сбоев при аутентификации свидетельствует о попытках подбора паролей, а аварийное завершение может указывать на попытки эксплуатации уязвимостей в sshd.«Гознак» развивает систему «Электронный бюджет» с помощью импортозамещенных решений экосистемы EvaTeam 5.1 т

Через параметр PerSourcePenalties задаётся минимальный порог аномальных событий, после превышения которого IP-адрес, для которого зафиксирована подозрительная активность, будет заблокирован. При помощи параметра PerSourceNetBlockSize дополнительно можно определить маску подсети для блокирования всей подсети, к которой принадлежит проблемный IP.

Для отключения срабатывания блокировки для отдельных подсетей предложен параметр PerSourcePenaltyExemptList, который может оказаться полезным в ситуациях, приводящих к ложным срабатываниям, например, когда к SSH-серверу осуществляются обращения из крупной сети, запросы разных пользователей из которой приходят с одинаковых IP из-за использования транслятора адресов или прокси[3].

2023: OpenSSH 9.2 c исправлением уязвимости аутентификации на сервере

Разработчики OpenSSH выпустили версию OpenSSH 9.2 для устранения ряда недостатков, включая уязвимость, которая проявляется на этапе аутентификации на сервере OpenSSH (sshd). Об этом стало известно 6 февраля 2023 года.

Уязвимость предварительной аутентификации (двойного освобождения) в OpenSSH 9.1 CVE-2023-25136 возникает в непривилегированном процессе предварительной аутентификации, который подвергается операции «chroot» и дополнительно изолирован на большинстве основных платформ.

Chroot – операция изменения корневого каталога в Unix-подобных ОС. Программа, запущенная с изменённым корневым каталогом, будет иметь доступ только к файлам, содержащимся в данном каталоге.

OpenSSH — это реализация протокола безопасной оболочки (SSH) с открытым исходным кодом, которая предлагает набор услуг для зашифрованной связи по незащищенной сети в архитектуре клиент-сервер.

Недостатки двойного освобождения возникают, когда уязвимый фрагмент кода вызывает функцию « free()», которая используется для освобождения блоков памяти дважды, что приводит к повреждению памяти и к дальнейшему сбою или выполнению произвольного кода.

Исследователь безопасности из Qualys Саид Аббаси сказал, что воздействие происходит в блоке памяти, освобождаемом дважды - ‘options.kex_algorithms’. Он также добавил, что проблема приводит к «двойному освобождению в непривилегированном процессе sshd».

Абасси пояснил, что активная эксплуатация уязвимости маловероятна, поскольку процесс использования слишком усложнён - современные библиотеки распределения памяти предоставляют защиту от двойного освобождения памяти, а процесс «pre-auth», в котором присутствует ошибка, выполняется с пониженными привилегиями в изолированной песочнице[4].

2022

Релиз OpenSSH 9.1 с директивой RequiredRSASize

5 октября 2022 года стало известно о том, что опубликован релиз OpenSSH 9.1, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. Выпуск характеризуется как в основном содержащий исправление ошибок, в том числе устранено нескольких потенциальных уязвимостей, вызванных проблемами при работе с памятью:

  • Однобайтовое переполнение в коде обработки SSH-баннера в утилите ssh-keyscan.
  • Двойной вызов функции free() в случае ошибки при вычислении хэшей для файлов в коде создания и проверки цифровых подписей в утилите ssh-keygen.
  • Двойной вызов функции free() при обработке ошибок в утилите ssh-keysign.

Основные изменения:

  • В ssh и sshd добавлена директива RequiredRSASize, позволяющая определить минимально допустимый размер RSA-ключей. В sshd ключи меньшего размера будут игнорироваться, а в ssh приводить к завершению соединения.
  • Переносимая редакция OpenSSH переведена на использование SSH-ключей для заверения цифровой подписью коммитов и тегов в Git.
  • Директивы SetEnv в файлах конфигурации ssh_config и sshd_config теперь применяют значение из первого упоминания переменной окружения, если она определена в конфигурации несколько раз (до этого применялось последнее упоминание).
  • При вызове утилиты ssh-keygen с флагом "-A" (генерация всех поддерживаемых по умолчанию типов хостовых ключей) отключена генерация ключей DSA, которые уже несколько лет не используются по умолчанию.
  • В sftp-server и sftp реализовано расширение "users-groups-by-id@openssh.com", дающее клиенту возможность запросить имена пользователей и групп, соответствующих указанному набору цифровых идентификаторов (uid и gid). В sftp данное расширение использовано для отображения имён при выводе содержимого каталога.
  • В sftp-server реализовано расширение "home-directory" для раскрытия путей ~/ и ~user/, альтернативное ранее предлагавшемуся для тех же целей расширению "expand-path@openssh.com" (расширение "home-directory" предложено для стандартизации и уже поддерживается некоторыми клиентами).
  • В ssh-keygen и sshd добавлена возможность указания времени в часовом поясе UTC при определении интервалов действия сертификатов и ключей, в дополнение к системному времени.
  • В sftp разрешено указание дополнительных аргументов в опции "-D" (например, "/usr/libexec/sftp-server -el debug3").
  • В ssh-keygen разрешено использование флага "-U" (использование ssh-agent) вместе с операциями "-Y sign" для определения, что закрытые ключи размещены в ssh-agent[5].

Релиз OpenSSH 9.0 с переводом scp на протокол SFTP

8 апреля 2022 года стало известно, что представлен релиз OpenSSH 9.0, открытой реализации клиента и сервера для работы по протоколам SSH 2.0 и SFTP. В данной версии утилита scp переведена по умолчанию на использование SFTP вместо устаревшего протокола SCP/RCP (сокращения от англ. Secure Copy Protocol и Remote Copy Protocol).

Источник: techgamingreport.com

В SFTP применяются более предсказуемые методы обработки имён и не используется обработка glob-шаблонов в именах файлов через shell на стороне другого хоста, создающая проблемы с безопасностью. В частности, при применении SCP и RCP сервер принимает решение о том, какие файлы и каталоги отправить клиенту, а клиент лишь проверяет корректность возвращённых имён объектов, что в случае отсутствия должных проверок на стороне клиента позволяет серверу передать другие имена файлов, отличающиеся от запрошенных.

Протокол SFTP лишён указанных проблем, но не поддерживает раскрытие спецпутей, таких как "~/". Для устранения данного различия начиная с OpenSSH 8.7 в реализации SFTP-сервера поддерживается расширение протокола "expand-path@openssh.com" для раскрытия путей ~/ и ~user/.

При использовании SFTP пользователи также могут столкнуться с несовместимостью, вызванной необходимостью двойного экранирования спецсимволов раскрытия путей в запросах SCP и RCP, чтобы предотвратить их интерпретацию на удалённой стороне. В SFTP такое экранирование не требуется и лишние кавычки могут привести к ошибке передачи данных. При этом разработчики OpenSSH отказались от добавления расширения для повторения поведения scp в этом случае, так как двойное экранирование рассматривается как недостаток, который не имеет смысл повторять.

Другие изменения в выпуске:

  • В ssh и sshd по умолчанию включён гибридный алгоритм обмена ключами "sntrup761x25519-sha512@openssh.com" (ECDH/x25519 + NTRU Prime), стойкий к подбору на квантовых компьютерах и совмещённый с ECDH/x25519 для блокирования возможных проблем в NTRU Prime, которые могут всплыть в будущем. В списке KexAlgorithms, определяющем порядок выбора методов обмена ключами, упомянутый алгоритм теперь поставлен на первое место и является более приоритетным, чем алгоритмы ECDH и DH. Квантовые компьютеры ещё не достигли уровня, позволяющего взламывать традиционные ключи, но применение гибридной защиты позволит оградить пользователей от атак, связанных с сохранением перехваченных SSH-сеансов с расчётом, что их можно будет расшифровать в будущем, когда появятся необходимые квантовые компьютеры.
  • В sftp-server добавлено расширение "copy-data", позволяющее копировать данные на стороне сервера, без транзитной отправки клиенту, если исходный и целевой файл находятся на одном сервере.
  • В утилиту sftp добавлена команда "cp" для инициирования клиентом копирования файлов на стороне сервера.[6]

Примечания

  1. BDU:2024-04914
  2. regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server
  3. В OpenSSH добавлена встроенная защита от атак по подбору паролей
  4. Выпущена версия OpenSSH 9.2 c исправлением уязвимости аутентификации на сервере
  5. Релиз OpenSSH 9.1
  6. Релиз OpenSSH 9.0 с переводом scp на протокол SFTP
Источник — «https://finance.tadviser.ru/index.php/%D0%9F%D1%80%D0%BE%D0%B4%D1%83%D0%BA%D1%82:OpenSSH»


СМ. ТАКЖЕ (5)

Править
Read in English   |   Короткая ссылка   |  Просмотров: 3962
ИНТЕГРАТОРЫ (325) ПРОЕКТЫ (1012) СИСТЕМЫ (486) ВЕНДОРЫ (289)

Подрядчики-лидеры по количеству проектов

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (57)
  Инфосистемы Джет (50)
  ДиалогНаука (37)
  Softline (Софтлайн) (37)
  Информзащита (35)
  Другие (862)

  Индид, Indeed (ранее Indeed ID) (8)
  Информзащита (2)
  Deiteriy (Дейтерий) (2)
  Softline (Софтлайн) (2)
  Национальный аттестационный центр (НАЦ) (2)
  Другие (33)

  Индид, Indeed (ранее Indeed ID) (9)
  Сканпорт АйДи (Scanport) (6)
  Инфосистемы Джет (5)
  Уральский центр систем безопасности (УЦСБ) (3)
  Inspect (3)
  Другие (50)

  Уральский центр систем безопасности (УЦСБ) (6)
  Индид, Indeed (ранее Indeed ID) (4)
  Инфосистемы Джет (4)
  Сканпорт АйДи (Scanport) (3)
  МСС Международная служба сертификации (2)
  Другие (57)

  UserGate, Юзергейт (ранее Entensys) (1)
  Информзащита (1)
  F.A.C.C.T. (ранее Group-IB в России) (1)
  Softline (Софтлайн) (1)
  Другие (0)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Индид, Indeed (ранее Indeed ID) (5, 58)
  СэйфТек (SafeTech) (6, 39)
  FalconGaze (Фалконгейз) (1, 38)
  Аладдин Р.Д. (Aladdin R.D.) (20, 27)
  Visa International (2, 26)
  Другие (473, 233)

  Индид, Indeed (ранее Indeed ID) (3, 8)
  Avanpost (Аванпост) (1, 1)
  Солар (ранее Ростелеком-Солар) (1, 1)
  СэйфТек (SafeTech) (1, 1)
  Другие (0, 0)

  Индид, Indeed (ранее Indeed ID) (2, 9)
  Shenzhen Chainway Information Technology (1, 6)
  СэйфТек (SafeTech) (1, 4)
  Аладдин Р.Д. (Aladdin R.D.) (4, 3)
  IT-Lite (АйТи Лайт) (1, 1)
  Другие (2, 2)

  Индид, Indeed (ранее Indeed ID) (2, 4)
  Shenzhen Chainway Information Technology (1, 3)
  СэйфТек (SafeTech) (1, 3)
  Мобильные ТелеСистемы (МТС) (1, 2)
  1IDM (АйТи Солюшнз) (1, 1)
  Другие (9, 9)

Данные не найдены

Распределение систем по количеству проектов, не включая партнерские решения

За всю историю
2022 год
2023 год
2024 год
Текущий год

  Indeed Access Manager (Indeed AM) - 45
  FalconGaze SecureTower - 38
  3-D Secure (3D-Secure) - 23
  PayControl - 23
  Avanpost IDM Access System - 20
  Другие 278

  Indeed Access Manager (Indeed AM) - 6
  Indeed CM - Indeed Certificate Manager (ранее Indeed Card Manager, Indeed Card Management) - 2
  Indeed PAM - Indeed Privileged Access Manager - 2
  PayControl - 1
  Avanpost IDM Access System - 1
  Другие 1

  Indeed Access Manager (Indeed AM) - 7
  Shenzhen Chainway C-серия RFID-считывателей - 6
  PayControl - 4
  Indeed PAM - Indeed Privileged Access Manager - 3
  Aladdin 2FA - 3
  Другие 7

  PayControl - 3
  Indeed PAM - Indeed Privileged Access Manager - 3
  Shenzhen Chainway C-серия RFID-считывателей - 3
  Indeed Access Manager (Indeed AM) - 2
  МТС ID - 2
  Другие 10
Данные не найдены
ИНТЕГРАТОРЫ (279) ПРОЕКТЫ (861) СИСТЕМЫ (479) ВЕНДОРЫ (246)

Подрядчики-лидеры по количеству проектов

За всю историю
2022 год
2023 год
2024 год
Текущий год

Данные не найдены

Данные не найдены

Данные не найдены

Данные не найдены

Данные не найдены
«Фармасинтез» запустит первое в России производство медтехники и изделий для диализа за 2 млрд рублей
В России выпустили аппарат HemoTech AI для выявления сахарного диабета без прокола пальцев и реактивов
Директора центра косметологии в Ижевске арестовали по делу о взятке замминистру здравоохранения
Общий доход AstraZeneca в 2024 году увеличился на 21%
Как продвинутые WMS-системы помогают справиться с дефицитом кадров
«УралТЭП»: объединяя богатый опыт и новаторство
Яна Соколова, ОДК-Цифровые технологии: Мы используем MDM-решение от компании SDI Solution уже 12 лет
Сколково и TAdviser определили лидеров российского рынка CRM систем
Новая книга: «Производство мирового уровня. Путь к эффективности российского приборостроения»
Игорь Лейпи, Softline: Пока что импортозамещения в госсекторе точно не произошло
Юрий Латин, Bell Integrator: Будущее заказной разработки перспективное, и не только из-за импортозамещения
Максим Морарь, Orion soft: На рынке контейнеризации развивается тренд на экосистемность
Александр Сахаров, «Диасофт»: Экосистема low-code разработки Digital Q радикально ускоряет разработку микросервисных приложений
Обзор российского рынка цифровизации HoReCa: тренды и технологии
Как государство собирается оживить внедрение промышленных роботов в России. Главные меры поддержки
Лиана Гургенян, «АйТи-Альянс»: ITA PRODCAT поможет Альфа-Банку быстрее выводить на рынок новые услуги
ТУРБО ERP: ключевые ценности для бизнеса в текущем моменте
Центр продвинутой аналитики Альфа-Банка и билайн Big Data & AI представили решение для анализа турпотоков
Максим Иванов, «Сбер Бизнес Софт»: ИИ приносит нашим клиентам десятки, а иногда и сотни миллионов рублей дополнительной выручки
Платформа унифицированных коммуникаций для средних и крупных компаний. Обзор DION
Павел Пак, ЕВРАЗ ЗСМК: Timetta позволяет нам понять, когда мы делаем излишне оптимистичные оценки при планировании ресурсов
«Semantic MDM» — централизованное управление корпоративными мастер-данными в холдингах и корпорациях
Как повысить производительность «1С:ЗУП КОРП»: опыт IBS
Дмитрий Блинов, LogistiX: Роботы окупятся только на том складе, который уже хорошо автоматизирован
Анатомия современной Low-code платформы: что важно для Enterprise и почему
Как создать единую экосистему управления и учета для предприятия питания
Виталий Трепыхалин, «Ростелеком» — о компании как цифровом партнере для государства, бизнеса и граждан
Сколково и TAdviser определили лидеров российского рынка систем управления транспортной логистикой
Внутренняя валюта, «плюшки» для родственников, скупка готовых команд. Как ИТ-компании борются с кадровым голодом
Сертификаты ЭП под контролем: Узнайте, как ЭОС PKI-сервис меняет правила игры!
Александр Швецов, «Инферит ОС»: «МСВСфера Сервер» 9 — полноценная отечественная альтернатива CloudLinux
Цифровизация проектно-ориентированного бизнеса: настоящее и будущее PSA-систем в России
10 лет эксплуатации системы электронного документооборота Кабардино-Балкарской Республики
Крупнейшие аутсорсеры поддержки решений SAP в России. Рейтинг TAdviser
Тимур Порошин, НОТА МОДУС: Наша платформа работает как фабрика приложений для крупных компаний
«Базис» запустил обучающие курсы по администрированию Basis Dynamix Standard и Basis Workplace
«Рост ставки осложнил реализацию перспективных проектов». Лидеры российского ИТ-рынка — об итогах 2024 и ожиданиях от 2025 года
Унифицированные коммуникации в России: как развиваются отечественные решения и кто лидирует на этом рынке. Обзор TAdviser
Российский рынок информационной безопасности: оценки и тренды. Обзор TAdviser
CIO девелопера Tekta Group Антон Солорев — о переходе с ERP Microsoft на «1С» и особенностях цифровизации в строительстве
Конференция «Программно-аппаратные комплексы 2025» состоится 24 апреля