CERTA-2001-ALE-015

Vulnerability from certfr_alerte - Published: - Updated:

La faille décrite dans l'avis CERTA-2001-AVI-017 est exploitée pour compromettre les systèmes.

Description

SSH est un service permettant un accès distant via un tunnel chiffré. Ce service peut être utilisé pour administrer, à moindre risque, des machines à distance.

La faille de sécurité de SSH décrite dans l'avis CERTA-2001-AVI-017 est actuellement massivement exploitée, compromettant ainsi de nombreux systèmes.

Certaines versions de SSH, apparemment non vulnérables, deviennent vulnérables lorsque la fonctionnalité fallback est activée. En effet, cette fonctionnalité, mise en oeuvre sur une version non vulnérable, fait appel à une version de SSH1 vulnérable.

Les attaques par SSH laissent des traces assez significatives dans les fichiers journaux (par exemple /var/log/secure). Voici un exemple de ces traces :

Nov 19 11:00:00 victime sshd[pid]: log: Connection from attaquant port numero_de_port

Nov 19 11:00:04 victime sshd[pid+1]: log: Connection from attaquant port numero_de_port+1

Nov 19 11:00:07 victime sshd[pid+2]: log: Connection from attaquant port numero_de_port+2

Nov 19 11:00:11 victime sshd[pid+3]: log: Connection from attaquant port numero_de_port+3

Nov 19 11:00:16 victime sshd[pid+4]: log: Connection from attaquant port numero_de_port+4

Nov 19 11:00:16 victime sshd[pid+4]: fatal: Local: crc32 compensation attack: network attack detected

victime : Nom de la machine victime

pid : Numéro de processus de sshd, incrémenté à chaque nouvelle connexion

attaquant : Nom de machine ou adresse IP attaquante

numero_de_port : Numéro de port source, incrémenté pendant l'attaque

Contournement provisoire

  • Mettre à jour la version de SSH,
  • ne pas utiliser la fonctionnalité fallback,
  • mettre des règles de filtrage au niveau du garde-barrière pour bloquer le port 22/tcp (ou le port sur lequel SSH est en écoute) pour les machines non-autorisées,
  • si le service SSH est lancé par tcp-wrapper (tcpd) dans inetd, configurer les fichiers /etc/hosts.allow et /etc/hosts.deny pour spécifier les machines autorisées à utiliser ce service,
  • si le service SSH est lancé par xinetd, modifier le fichier /etc/xinetd.conf pour spécifier les machines autorisées à utiliser ce service.

Solution

Se référer au bulletin de sécurité CERTA-2001-AVI-017 du 12 février 2001.

Contournement provisoire

Analyse de Dave Dittrich :

http://staff.washington.edu/dittrich/misc/ssh-analysis.txt

Tous les systèmes utilisant :

  • SSH-1.5-1.2.24 à SSH-1.5-1.2.31,
  • SSH-1.5-OpenSSH-1.2 à SSH-1.5-OpenSSH-1.2.3,
  • SSH-1.99-2.0.11 à SSH-1.99-2.0.13 avec la fonctionnalité fallback activée,
  • SSH-1.99-2.1.0.p12 avec la fonctionnalité fallback activée,
  • SSH-1.99-2.1.0 avec la fonctionnalité fallback activée,
  • SSH-1.99-2.2.0 avec la fonctionnalité fallback activée,
  • SSH-1.99-2.3.0 avec la fonctionnalité fallback activée,
  • SSH-1.99-2.4.0 avec la fonctionnalité fallback activée,
  • SSH-1.99-3.0.0 avec la fonctionnalité fallback activée,
  • SSH-1.99-3.0.1 avec la fonctionnalité fallback activée,
  • SSH-1.99-OpenSSH-2.1,
  • SSH-1.99-OpenSSH-2.1.1,
  • SSH-1.99-OpenSSH-2.2.0,
  • SSH-1.99-OpenSSH-2.2.0p1,
  • SSH-2.0-2.3.0 avec la fonctionnalité fallback activée,
  • SSH-2.0-2.4.0 avec la fonctionnalité fallback activée,
  • SSH-2.0-3.0.0 avec la fonctionnalité fallback activée,
  • SSH-2.0-3.0.1 avec la fonctionnalité fallback activée,

D'autres versions de SSH sont peut-être vulnérables.

Impacted products
Vendor Product Description
References

Show details on source website
To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cP\u003eTous les syst\u00e8mes utilisant :\u003c/P\u003e  \u003cUL\u003e    \u003cLI\u003eSSH-1.5-1.2.24 \u00e0 SSH-1.5-1.2.31,\u003c/LI\u003e    \u003cLI\u003eSSH-1.5-OpenSSH-1.2 \u00e0 SSH-1.5-OpenSSH-1.2.3,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-2.0.11 \u00e0 SSH-1.99-2.0.13 avec la fonctionnalit\u00e9    \u003cTT\u003efallback\u003c/TT\u003e activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-2.1.0.p12 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-2.1.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-2.2.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-2.3.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-2.4.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-3.0.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-3.0.1 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-OpenSSH-2.1,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-OpenSSH-2.1.1,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-OpenSSH-2.2.0,\u003c/LI\u003e    \u003cLI\u003eSSH-1.99-OpenSSH-2.2.0p1,\u003c/LI\u003e    \u003cLI\u003eSSH-2.0-2.3.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-2.0-2.4.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-2.0-3.0.0 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e    \u003cLI\u003eSSH-2.0-3.0.1 avec la fonctionnalit\u00e9 \u003cTT\u003efallback\u003c/TT\u003e    activ\u00e9e,\u003c/LI\u003e  \u003c/UL\u003e  \u003cP\u003eD\u0027autres versions de SSH sont peut-\u00eatre vuln\u00e9rables.\u003c/P\u003e",
  "closed_at": "2001-11-19",
  "content": "## Description\n\nSSH est un service permettant un acc\u00e8s distant via un tunnel chiffr\u00e9. Ce\nservice peut \u00eatre utilis\u00e9 pour administrer, \u00e0 moindre risque, des\nmachines \u00e0 distance.\n\nLa faille de s\u00e9curit\u00e9 de SSH d\u00e9crite dans l\u0027avis CERTA-2001-AVI-017 est\nactuellement massivement exploit\u00e9e, compromettant ainsi de nombreux\nsyst\u00e8mes.\n\nCertaines versions de SSH, apparemment non vuln\u00e9rables, deviennent\nvuln\u00e9rables lorsque la fonctionnalit\u00e9 fallback est activ\u00e9e. En effet,\ncette fonctionnalit\u00e9, mise en oeuvre sur une version non vuln\u00e9rable,\nfait appel \u00e0 une version de SSH1 vuln\u00e9rable.\n\nLes attaques par SSH laissent des traces assez significatives dans les\nfichiers journaux (par exemple /var/log/secure). Voici un exemple de ces\ntraces :\n\nNov 19 11:00:00 victime sshd\\[pid\\]: log: Connection from attaquant port\nnumero_de_port\n\nNov 19 11:00:04 victime sshd\\[pid+1\\]: log: Connection from attaquant\nport numero_de_port+1\n\nNov 19 11:00:07 victime sshd\\[pid+2\\]: log: Connection from attaquant\nport numero_de_port+2\n\nNov 19 11:00:11 victime sshd\\[pid+3\\]: log: Connection from attaquant\nport numero_de_port+3\n\nNov 19 11:00:16 victime sshd\\[pid+4\\]: log: Connection from attaquant\nport numero_de_port+4\n\nNov 19 11:00:16 victime sshd\\[pid+4\\]: fatal: Local: crc32 compensation\nattack: network attack detected\n\nvictime : Nom de la machine victime\n\npid : Num\u00e9ro de processus de sshd, incr\u00e9ment\u00e9 \u00e0 chaque nouvelle\nconnexion\n\nattaquant : Nom de machine ou adresse IP attaquante\n\nnumero_de_port : Num\u00e9ro de port source, incr\u00e9ment\u00e9 pendant l\u0027attaque\n\n## Contournement provisoire\n\n-   Mettre \u00e0 jour la version de SSH,\n-   ne pas utiliser la fonctionnalit\u00e9 fallback,\n-   mettre des r\u00e8gles de filtrage au niveau du garde-barri\u00e8re pour\n    bloquer le port 22/tcp (ou le port sur lequel SSH est en \u00e9coute)\n    pour les machines non-autoris\u00e9es,\n-   si le service SSH est lanc\u00e9 par tcp-wrapper (tcpd) dans inetd,\n    configurer les fichiers /etc/hosts.allow et /etc/hosts.deny pour\n    sp\u00e9cifier les machines autoris\u00e9es \u00e0 utiliser ce service,\n-   si le service SSH est lanc\u00e9 par xinetd, modifier le fichier\n    /etc/xinetd.conf pour sp\u00e9cifier les machines autoris\u00e9es \u00e0 utiliser\n    ce service.\n\n## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 CERTA-2001-AVI-017 du 12 f\u00e9vrier\n2001.\n\n## Contournement provisoire\n\nAnalyse de Dave Dittrich :\n\n    http://staff.washington.edu/dittrich/misc/ssh-analysis.txt\n",
  "cves": [],
  "links": [],
  "reference": "CERTA-2001-ALE-015",
  "revisions": [
    {
      "description": "version initiale.",
      "revision_date": "2001-11-19T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Compromission du syst\u00e8me"
    }
  ],
  "summary": "La faille d\u00e9crite dans l\u0027avis CERTA-2001-AVI-017 est exploit\u00e9e pour\ncompromettre les syst\u00e8mes.\n",
  "title": "Exploitation massive d\u0027une ancienne vuln\u00e9rabilit\u00e9 de SSH",
  "vendor_advisories": []
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or observed by the user.
  • Confirmed: The vulnerability has been validated from an analyst's perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: The vulnerability was observed as exploited by the user who reported the sighting.
  • Patched: The vulnerability was observed as successfully patched by the user who reported the sighting.
  • Not exploited: The vulnerability was not observed as exploited by the user who reported the sighting.
  • Not confirmed: The user expressed doubt about the validity of the vulnerability.
  • Not patched: The vulnerability was not observed as successfully patched by the user who reported the sighting.



Detection rules are retrieved from Rulezet.