Nessus scan informa de una vulnerabilidad de Dropbear en una máquina que no tiene instalado Dropbear

2

Escaneando una máquina en una red local (es la única máquina escaneada y está ejecutando Red Hat Enterprise Linux 7.4) y Nessus informa sobre una vulnerabilidad presente en una versión obsoleta de Dropbear SSH instalada en la máquina. La máquina tiene OpenSSH pero no dropbear. Aquí está el texto completo del error:

  

Dropbear es una aplicación de servidor y cliente SSH. Las versiones del servidor Dropbear SSH anteriores a 2016.74.0 son potencialmente vulnerables a las siguientes vulnerabilidades:

     

Existe un error de cadena de formato que se activa como especificadores de formato de cadena (por ejemplo,% s y% x) que no se usan correctamente al manejar nombres de usuario o argumentos del host. Esto puede permitir a un atacante remoto ejecutar código arbitrario. (CVE-2016-7406) - Existe una falla que se activa durante el manejo de archivos de clave OpenSSH especialmente diseñados que se importan a través de 'dropbearconvert'. Esto puede permitir que un atacante dependiente del contexto ejecute código arbitrario. (CVE-2016-7407) - Existe una falla en 'dbclient' que se activa durante el manejo de los argumentos '-m' o '-c', como se usa en los scripts. Esto puede permitir a un atacante remoto ejecutar código arbitrario. (CVE-2016-7408) - Existe una falla en 'dbclient' o 'dropbear server' que se activa cuando se compila con 'DEBUG_TRACE' y se ejecuta con '-v'. Esto puede permitir que un atacante local tenga acceso a la memoria de proceso. (CVE-2016-7409)

Tengo la sospecha de que el error es una ligera pista falsa y algún otro paquete en el sistema expone una de las vulnerabilidades mencionadas, y el informe continúa después de asegurarse de que todos los paquetes instalados estén actualizados. ¿Alguien puede arrojar alguna luz sobre esto y sugerir una solución? Es posible que tenga Dropbear o algo que lo incluya como parte de la distribución de RHEL, pero no pueda verlo en la lista de paquetes (usando yum) ni está presente en el repositorio de RedHat base.

    
pregunta StevenL 08.12.2017 - 16:10
fuente

1 respuesta

1

Para ayudar a cualquiera que encuentre esto con un problema similar:

Después de intentar SSH en la máquina que se estaba escaneando con masilla, quedó claro que la máquina rechazó el acceso SSH debido a que sshd_config no permite el acceso de raíz.

El registro de eventos de masilla mostró que el servidor estaba informando una versión obsoleta de Dropbear en el mensaje del banner, que es lo que hizo que el escáner generara este error.

Puede volver a verificar que el escaneo realmente se conectó exitosamente a la máquina al verificar el complemento 19506 y al verificar que las "Verificaciones con credenciales" denoten un éxito. También verifique que la máquina a la que está intentando conectarse esté configurada correctamente y permita conexiones SSH.

    
respondido por el StevenL 13.12.2017 - 15:39
fuente

Lea otras preguntas en las etiquetas