La scansione di Nessus segnala una vulnerabilità di Dropbear su una macchina su cui non è installato dropbear

2

Scansione di una macchina su una rete locale (è l'unica macchina scansionata e sta eseguendo Red Hat Enterprise Linux 7.4) e Nessus segnala una vulnerabilità presente in una versione obsoleta di Dropbear SSH installata sulla macchina. La macchina ha OpenSSH ma non dropbear. Ecco il testo completo dell'errore:

Dropbear is an SSH client and server application. Versions of Dropbear SSH server prior to 2016.74.0 are potentially vulnerable to the following vulnerabilities :

A format string flaw exists that is triggered as string format specifiers (e.g. %s and %x) are not properly used when handling usernames or host arguments. This may allow a remote attacker to potentially execute arbitrary code. (CVE-2016-7406) - A flaw exists that is triggered during the handling of specially crafted OpenSSH key files that are imported via 'dropbearconvert'. This may allow a context-dependent attacker to potentially execute arbitrary code. (CVE-2016-7407) - A flaw exists in 'dbclient' that is triggered during the handling of '-m' or '-c' arguments, as used in scripts. This may allow a remote attacker to potentially execute arbitrary code. (CVE-2016-7408) - A flaw exists in 'dbclient' or 'dropbear server' that is triggered when compiling with 'DEBUG_TRACE' and running with '-v'. This may allow a local attacker to gain access to process memory. (CVE-2016-7409)

Ho il sospetto che l'errore sia una leggera falsa pista e qualche altro pacchetto sul sistema esponga una delle vulnerabilità citate e il rapporto persiste dopo aver verificato che tutti i pacchetti installati siano aggiornati. Qualcuno può far luce su questo e suggerire una correzione? È possibile che io abbia dropbear o qualcosa che lo includa come parte della distribuzione RHEL ma non riesco a vederlo nella lista dei pacchetti (usando yum) né è presente nel repository RedHat di base.

    
posta StevenL 08.12.2017 - 16:10
fonte

1 risposta

1

Per aiutare chiunque si imbatta in questo con un problema simile:

Dopo aver tentato di SSH sulla macchina sottoposta a scansione con stucco, era chiaro che la macchina ha rifiutato l'accesso SSH a causa di sshd_config che non permetteva l'accesso root.

Il registro degli eventi putty ha mostrato che il server stava segnalando una versione obsoleta di dropbear nel messaggio del banner, che è ciò che ha causato lo scanner ad aumentare questo errore.

È possibile ricontrollare che la scansione sia effettivamente connessa alla macchina controllando il plug-in 19506 e verificando che "Verifica credenziali" abbia riportato un esito positivo. Verificare inoltre che la macchina alla quale si sta tentando di connettersi sia configurata correttamente e consenta le connessioni SSH.

    
risposta data 13.12.2017 - 15:39
fonte

Leggi altre domande sui tag