¿Qué exploits ssh funciona cambiando el nombre de usuario en medio del proceso?

Navega tus respuestas
7

Cada pocas horas, obtengo algunas de esas en los registros de mi servidor: 

sshd[...]: Disconnecting: Change of username or service not allowed: (httpd,ssh-connection) -> (http,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (identd,ssh-connection) -> (ident,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (administrator,ssh-connection) -> (admin,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (admins,ssh-connection) -> (admin,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (admissions,ssh-connection) -> (adm,ssh-connection) [preauth]

...other attempts of the same kind: tony -> to, users -> user, wwwrun -> www, ...

Al parecer, alguien intenta confundir mi demonio ssh al primero identificarse como foo y luego como somePrefixOfFoo (sin éxito, obviamente).

¿Existe o hubo alguna vulnerabilidad específica en SSH que permita que tal ataque tenga éxito?

    
pregunta Heinzi 23.04.2016 - 15:20
fuente

1 respuesta

8

No creo que haya ninguna vulnerabilidad en esto, al menos no en openssh . El código resultante de este error se agregó en este compromiso y hace referencia a la recomendación de ietf-drafts . Probablemente RFC4252 , que dice hoy:

  

El 'nombre de usuario' y el 'nombre de servicio' se repiten en cada nuevo   intento de autenticación, y puede cambiar. La implementación del servidor.   DEBE revisarlos cuidadosamente en cada mensaje, y DEBE vaciar cualquier   Estados de autenticación acumulados si cambian. Si no puede   vaciar un estado de autenticación, DEBE desconectarse si el 'nombre de usuario'   o el 'nombre del servicio' cambia.

Así que creo que es el caso resaltado.

    
respondido por el Jakuje 23.04.2016 - 15:37
fuente

Lea otras preguntas en las etiquetas

Restrinja el acceso a un directorio específico en Linux ¿Detectar qué se está ejecutando en un puerto abierto?