exameinformatica

Uma parceria EXPRESSO

Siga-nos nas redes

Perfil

Internet

Falha no OpenSSH ameaça passwords de servidores

O sistema OpenSSH tem um bug que permite realizar milhares de tentativas para se descobrir as palavras chave de acesso a servidores. Em circunstâncias normais, só deviam ser permitidas seis tentativas.

  • 333

A falha do sistema OpenSSH foi divulgada por um investigador que dá pelo nome de KingCope e foi publicada num blogue. Com apenas uma linha de código, os hackers podem tentar milhares de passwords para acederem a servidores, numa janela temporal de dois minutos. O comando que KingCope publicou permite ao hacker tentar colocar a password até dez mil vezes.

A falha afeta as versões mais recentes do OpenSSH e também uma que foi lançada em 2007, como parte do sistema operativo FreeBSD, noticia o ArsTechnica.

A vulnerabilidade tem o potencial de criar alguns problemas sérios, uma vez que as tentativas de brute-force para aceder a servidores são comuns e se estas máquinas com OpenSSH apresentarem esta falha, tornam-se alvos preferenciais.

«É um daqueles bugs que não se encontram em servidores bem configurados, mas os mal configurados até já estariam em risco de ataques de brute-force e agora estão expostos a um risco maior», disse o DTO da Duo Security, John Oberheide.

Os servidores bem configurados já deviam anular as tentativas de força bruta onde os hackers tentam adivinhar a password milhares de vezes até conseguirem acesso. As precauções neste caso passam por usar uma chave criptográfica de 2048 bits, proteger-se com uma palavra chave forte e limitar o uso dos servidores.