Date : 09 Decembre 2008

 Programme : ssh

 Gravité : Elevée

 Exploitation : Distante

 Description :

De nouvelles attaques SSH ont été identifiées sur Internet. En effet, un groupe de pirate utilise actuellement un botnet afin de tenter de pénétrer des serveurs SSH disponibles sur Internet.

Les serveurs SSH peuvent être configurés afin de ralentir une attaque SSH provenant de la même adresse IP (ajout d’un temps de latence entre chaque essai). Des logiciels de "blacklistes" (DnyHosts, BruteForceBlocker ou encore fail2ban) permettent aussi de "blacklister" certaines adresses IP après quelques tentatives infructueuses.

Avec l’utilisation d’un botnet (nombreuses machines compromises), les attaques proviennent donc d’adresses IP différentes. Ce type d’attaque n’est pas nouveau. Cependant, il semble qu’une véritable coordination entre les machines infectées ait été mise en place. Ainsi, une première machine tente de se connecter sur le serveur SSH cible puis donne la main à une deuxième machine chargée, elle aussi, de continuer la liste des "login/mot de passe" créée par les pirates.

Chacune des machines du botnet sera réutilisée plus tard déjouant ainsi les protections mises en place sur les serveurs SSH.

Les attaques répertoriées concernent uniquement les serveurs SSH installés sur le port 22. La première protection consiste donc à changer le port par défaut du serveur SSH.

 Référence :

http://asert.arbornetworks.com/2008/12/distributed-ssh-brute-force-attacks/

http://www.heise-online.co.uk/security/Distributed-SSH-attacks-bypass-blacklists—/news/112174

 Lien extranet XMCO : http://xmcopartners.com/veille/client/index.xmco?nv=1228821028