Quale exploit ssh funziona cambiando il nome utente nel mezzo del processo?

7

Ogni poche ore ne ottengo alcuni nei registri del server:

sshd[...]: Disconnecting: Change of username or service not allowed: (httpd,ssh-connection) -> (http,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (identd,ssh-connection) -> (ident,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (administrator,ssh-connection) -> (admin,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (admins,ssh-connection) -> (admin,ssh-connection) [preauth]
sshd[...]: Disconnecting: Change of username or service not allowed: (admissions,ssh-connection) -> (adm,ssh-connection) [preauth]

...other attempts of the same kind: tony -> to, users -> user, wwwrun -> www, ...

A quanto pare, qualcuno cerca di confondere il mio demone ssh identificandosi prima come foo e poi come somePrefixOfFoo (senza successo, ovviamente).

C'è o c'era qualche vulnerabilità specifica in SSH che consentirebbe un tale attacco di avere successo?

    
posta Heinzi 23.04.2016 - 15:20
fonte

1 risposta

8

Non credo che ci fosse qualche vulnerabilità in questo, almeno non in openssh . Il codice risultante in questo errore è stato aggiunto in questo commit e fa riferimento a raccomandazioni da ietf-drafts . Probabilmente RFC4252 , che dichiara oggi:

The 'user name' and 'service name' are repeated in every new authentication attempt, and MAY change. The server implementation MUST carefully check them in every message, and MUST flush any accumulated authentication states if they change. If it is unable to flush an authentication state, it MUST disconnect if the 'user name' or 'service name' changes.

Quindi credo che sia il caso evidenziato.

    
risposta data 23.04.2016 - 15:37
fonte

Leggi altre domande sui tag