Une faille OpenSSH expose les serveurs aux attaques par force brute
Selon un chercheur en sécurité, une faille dans la chaîne d'authentification d'OpenSSH pourrait permettre à des hackers d'essayer des milliers de mots de passe sans être bloqués.
Un bug dans OpenSSH, le logiciel le plus populaire pour les accès sécurisés à distance aux systèmes UNIX, pourrait permettre à des attaquants de contourner les restrictions d'authentification et lancer de très nombreuses conjectures pour trouver le bon mot de passe. Un chercheur en sécurité qui utilise l'alias en ligne Kingcope a signalé cette faille sur son blog la semaine dernière (voir illustration).
Par défaut, les serveurs OpenSSH autorisent six tentatives d'authentification avant de fermer une connexion et le client OpenSSH permet trois entrées de mot de passe incorrect, indique Kingcope. Cependant, les serveurs OpenSSH avec authentification du clavier interactif activé - ce qui est le réglage par défaut sur de nombreux systèmes y compris ceux de FreeBSD -, peuvent être trompés pour laisser passer plusieurs tentatives d'authentification sur une seule connexion, selon le chercheur.
Des milliers de mots de passe testés en 2 minutes
« Avec cette vulnérabilité, un attaquant est en mesure de tester autant de mots de passe en mode invité durant une laps de temps de deux minutes » a précisé Kincope. Selon le serveur et la connexion, deux minutes pourraient permettre des milliers de tentatives, ce qui pourrait suffire pour trouver des mots de passe communs ou faibles à l'aide d'un dictionnaire des attaques.
Selon une discussion sur Reddit, paramétrer PasswordAuthentication sur « No » dans la configuration OpenSSH et utiliser l'authentification par clé publique ne bloque même pas cette attaque, car l'authentification de clavier interactif est un sous-système différent qui repose également sur les mots de passe. Par conséquent, les utilisateurs doivent régler ChallengeResponseAuthentication et KbdInteractiveAuthentication sur« No » dans leurs configurations.
