Faille de sécurité dangereuse probablement juste un canular

Une réclamation d'une vulnérabilité logicielle dans un programme utilisé pour se connecter de manière sécurisée à des serveurs sur Internet est probablement un canular, selon un analyste du SANS Internet Storm Center.

Le programme, appelé OpenSSH (Secure Shell), est installé sur des dizaines de millions de serveurs fabriqués par des fournisseurs tels que Red Hat, Hewlett-Packard, Apple et IBM. Il est utilisé par les administrateurs pour établir des connexions cryptées avec d'autres ordinateurs et effectuer des tâches telles que la mise à jour à distance des fichiers. OpenSSH est la version open-source, et il existe des versions commerciales du programme.

Plus tôt cette semaine, SANS a reçu un e-mail anonyme affirmant une vulnérabilité zero-day dans OpenSSH, ce qui signifie qu'une faille dans le logiciel est déjà présente être exploité comme il devient public. C'est le type de vulnérabilité logiciel le plus dangereux car cela signifie qu'il n'y a pas encore de solution et que les méchants le savent.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Une véritable vulnérabilité zero-day OpenSSH pourrait être dévastateur pour Internet, permettant aux hackers d'avoir carte blanche pour accéder aux serveurs et PC jusqu'à ce qu'une solution de contournement ou un correctif soit prêt.

"C'est pourquoi je pense que les gens créent un peu de panique" Bojan Zdrnja, analyste chez SANS et consultant senior en sécurité de l'information chez Infigo, une société de tests de sécurité et de pénétration à Zagreb, en Croatie. "Les gens ne devraient pas paniquer en ce moment, rien pour l'instant n'indique qu'il y a un exploit utilisé dans la nature."

La preuve d'une vraie vulnérabilité zero-day dans OpenSSH est faible, a dit Zdrnja. Jusqu'à présent, les analystes n'ont pas vu d'exploit fonctionnant, malgré les inquiétudes qu'un groupe appelé Anti-Sec pourrait avoir trouvé un jour zéro qui leur a permis de contrôler un serveur Web. Des détails sur le piratage ont été publiés sur Full Disclosure, qui est un forum non modéré pour les informations de sécurité.

Lorsqu'on a demandé plus de détails, une personne prétendant faire partie d'Anti-Sec a écrit un courriel au service IDG News "Je ne suis pas autorisé à discuter de l'exploit (ou s'il existe)", qui a été signé "Anonymous".

Zdrnja a déclaré que le même groupe a récemment compromis un autre serveur, mais il semblait être une attaque OpenSSH. Une attaque par force brute est l'endroit où un pirate essaie de nombreuses combinaisons d'informations d'authentification afin d'accéder à un serveur. Si un administrateur utilise des log-ins simples et des mots de passe, cela rend un serveur plus vulnérable à une attaque par force brute, a dit Zdrnja.

Les deux serveurs compromis étaient gérés par la même personne. "Je suppose que nous sommes ici en présence de deux hackers dans une guerre entre eux", a déclaré Zdrnja.

Mais il existe d'autres facteurs qui indiquent qu'un jour zéro pour OpenSSH n'existe pas. Si le jour zéro existait, les pirates seraient probablement plus susceptibles de l'utiliser contre un serveur plus en vue que le plus récent qui a été compromis, a dit Zdrnja.

Un des développeurs d'OpenSSH, Damien Miller, a également jeté de l'eau froide sur la possibilité d'un zéro-jour. Miller a écrit sur un forum OpenSSH mercredi qu'il a échangé des e-mails avec une victime présumée du jour zéro, mais les attaques ont semblé être "force brute simple."

"Donc, je ne suis pas persuadé qu'un Le zéro-jour existe du tout ", a écrit Miller. "Les seules preuves à ce jour sont des rumeurs anonymes et des transcriptions d'intrusions invérifiables."

Il semble également y avoir une certaine confusion entre le prétendu zero-day et une vulnérabilité différente dans OpenSSH, a dit Zdrnja. Cette vulnérabilité, qui n'a pas encore été corrigée, pourrait permettre à un attaquant de récupérer jusqu'à 32 bits de texte brut à partir d'un bloc arbitraire de texte chiffré à partir d'une connexion sécurisée utilisant le protocole SSH en configuration standard, selon un avis du Royaume-Uni. s Centre de protection des infrastructures nationales (CPNI).

La sévérité de la vulnérabilité est considérée comme élevée, mais les chances d'une exploitation réussie sont faibles, selon CPNI. Zdrnja a déclaré que les administrateurs peuvent implémenter des mécanismes d'authentification plus forts dans OpenSSH en utilisant des clés publiques et privées pour se prémunir contre une attaque réussie. Dans un avis, OpenSSH a également déclaré que la possibilité d'une attaque réussie était faible.