Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
07/07/2011
Greu fallada de seguretat en OpenSSH de FreeBSD, descobert set anys després
Kingcope ha tornat a fer públics tots els detalls d'un greu fallada de seguretat en OpenSSH de FreeBSD 4, que permet execució remota de codi. Ha creat un exploit capaç d'aprofitar la fallada, i que torna un intèrpret d'ordes (shell) a l'equip remot, sense necessitat autenticació. La fallada es troba en auth2-pam-freebsd.C, un arxiu de fa set anys.
El problema és greu, ja que permet a un atacant que puga accedir al SSH d'una màquina FreeBSD, executar codi com root, sense necessitat autenticar-se. La fallada es dóna en, almenys en FreeBSD 4.9 i 4.11, ja que aquestes versions vénen amb OpenSSH 3.5p1 per defecte. Actualment FreeBSD manté només dues branques, la 7 i la 8. La branca 4 es va interrompre el 2007 i el fitxer problemàtic desaparegué de FreeBSD a partir de la versió 5.2.1.
El problema està en la funció pam_thread, a l'hora de processar noms d'usuari molt llargs. Tant SSH, versió 1, com SSHm versió 2. En versions més modernes de FreeBSD 5.2.1, ni tan sols hi ha l'arxiu afectat auth2-pam-freebsd.c. I Kingcope no ha pogut encara determinar si el problema està en aquest OpenSSH de FreeBSD o en la pròpia llibreria PAM del sistema operatiu.
Durant les proves, Kingcope va comprovar que si llançava el dimoni SSH des de consola com arrrel (root), i proporcionava un nom d'usuari de més de 100 caràcters de longitud, el dimoni moria i se sobreescrivia el registre EIP, amb la qual cosa es pot arribar a controlar per complet el flux d'instruccions.
Kingcope (Nikolaos Rangs) sol descobrir importants vulnerabilitats en FreeBSD i un altre programari popular. A finals de 2009 va trobar un problema d'elevació de privilegis FreeBSD. Al setembre d'aqueix mateix any va publicar un exploit funcional que permetia un atacant executar codi amb permisos de SYSTEM, en un servidor IIS 5.X (Internet Information Services), sempre que tinguera el FTP habilitat i accessible. En la versió 6.X, l'exploit només permetia provocar una denegació de servei. També al maig de 2009 va descobrir un greu fallada en WebDAV d'IIS.