开源的加密通信项目OpenSSH在最近接连被踢爆两个用户名称枚举(Username Enumeration)漏洞,它们分别是CVE-2018-15473与CVE-2018-15919,虽然OpenSSH团队已经修补了前一个漏洞,但他们认为这并不是什么大不了的漏洞。
SSH为最市场上最受欢迎的远程访问协议,可用来执行远程登录及创建安全信道,而OpenSSH即为最普及的SSH应用软件。用户名称枚举漏洞将允许黑客输入各种用户名称,从系统的回应来判断用户名称的正确与否,接着再以暴力破解法找出相对应的密码,以取得用户凭证。
其中,CVE-2018-15473漏洞自1999年发布的OpenSSH版本就存在了,当黑客送出身份验证请求时,若所使用的用户名称并不存在,OpenSSH服务器即会回复“验证失败”,反之,当确实有该用户名称时,OpenSSH服务器就会直接关闭连接,这样的差异将有利于黑客判断于该服务器上所注册的有效用户名称。
由于OpenSSH广泛被应用在许多云计算代管服务器上,也让网络安全社群担心该漏洞将影响数十亿的IoT设备。
波兰网络安全企业Securitum是在今年7月提报CVE-2018-15473,OpenSSH团队则已于7月底修补,但相关细节一直到8月下旬才被披露。
Qualys则在本周公布了另一个OpenSSH用户名称枚举漏洞CVE-2018-15919,它影响了2011年以来的OpenSSH版本,该漏洞存在于auth2-gss.c组件中,且在Fedora、CentOS及Red Hat Enterprise Linux等平台的默认都激活了该组件。
虽然这两个漏洞都被分配了漏洞编号,但OpenSSH团队认为它们并没有那么严重。 OpenSSH开发者Damien Miller指出,相关漏洞充其量只能算是“神谕”(Oracle)漏洞,而非枚举漏洞,因为它们并没有能力枚举或列出帐号名单,而只能用暴力破解法来猜测用户名称,再确认这些名称是否存在于系统上,此外,在Unix生态体系中,只有极少数的系统会特意避免这样的信息披露。
不过,Miller也说若他们知道相关漏洞的存在且修复成本不会太高时,仍会继续修补这类的漏洞。