Rapid7 recomendó a los usuarios de dispositivos con Nexpose aplicar una actualización a sus sistemas para modificar la configuración SSH que se encuentra configurado por defecto.

La compañía advirtió este miércoles que los dispositivos eran enviados con una configuración de SSH que podría haber dejado algunos algoritmos de intercambio de llaves, de cifrado y de MAC usados en el proceso de intercambio de llaves.

Los dispositivos con Nexpose son servidores preconfigurados, desplegados en racks de servidores, diseñados para ayudar a los usuarios a medir vulnerabilidades, administrar datos de vulnerabilidades y limitar la exposición a una amenaza. Todas las aplicaciones físicas de Nexpose son afectadas por una relevación hecha por Samuel Huckins, un administrador del programa de la compañía, publicado el miércoles.

CVE-2017-5243: Dipositivos Nexpose con algoritmos obsoletos para SSH habilitados https://t.co/DHI7uLJ5yj (Gracias a @LiamMSomerville)

— Rapid7 (@rapid7) Mayo 31, 2017

Liam Somerville, un investigador de Escocia, descubrió la vulnerabilidad (CVE-2017-5243) y la reportó a la compañía hace tres semanas.

No es necesario descargar nada para resolver el problema pero un archivo necesita ser editado, dijo Rapid7. De acuerdo a Huckins, para arreglar la vulnerabilidad un usuario con acceso de root debe editar el archivo /etc/ssh/sshd_config en el dispositivo para asegurarse de que solo sean aceptados cifrados modernos, algoritmos de intercambio de llaves y MAC modernos. Esto debe minimizar cualquier ataque que implique autenticación.

Antes de la reparación, algunos algoritmos de cifrado viejos como AES192-CBC, Blowfish-CBC, y 3DES-CBC, y algoritmos de intercambio de llaves como diffie-hellman-group-exchange-sha1 podrían haber estado habilitados.

"Este cambio no debe afectar las conexiones de las instancias de Nexpose al dispositivo físico. El principal impacto pordría ser limitar el acceso de los clientes SSH de tal forma que no puedan conectarse al dispositivo usando algoritmos obsoletos ", escribió Huckins.

De acuerdo con Tod Beardsley, director de investigación en Rapid7, la vulnerabilidad podría haber dejado a un atacante en la red en una posición para forzar un cambio de versión por una anterior entre un cliente SSH y Nexpose durante la autenticación.

“La posición privilegiada es crucial para hacer el ataque exitoso, ya que es un ataque de hombre en el medio; primero, el atacante debe poder establecerse entre el cliente y el servidor, lo cual usualmente significa que el atacante se encuentra en la misma red del cliente o del servidor, o que ha comprometido a un ISP en el camino (en cuyo caso se tendrían muchos más problemas)”, dijo Berdsley a Threatpost el viernes por la tarde, “una vez allí, el atacante podría hacerse pasar por ambos lados de la comunicación inicial de SSH, y reescribirla para solicitar uno de estos algoritmos viejos y obsoletos. Una vez realizado, el atacante guarda la sesión, y puede descifrar la sesión posteriormente”.

Badsley dice que remover el soporte para estos algoritmos de lado del servidor, vuelve impráctico el ataque antes mencionado, y reduce significativamente el riesgo.

“Estos dispositivos no suelen ser expuestos en redes públicas, por lo que los atacantes deberán ser internos para empezar”, dijo Beardsley, “SSH está hecho para ser resistente a este tipo de manipulación de sesiones, aún al hacerle cara a los atacantes que se encuentren en el lugar adecuado y que tienen la suficiente experiencia y recursos para montar este tipo de ataques. Fortificando lo que se tiene en el servidor, se puede mantener la confidencialidad".

Artículos relacionados

• Cowrie Honeypot: Ataques de fuerza bruta
• Frameworks para monitoreo, forense y auditoría de tráfico de red