Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Исследователи сообщают о серьезной уязвимости в OpenSSH, которая позволяет удаленному злоумышленнику определить, есть ли на атакуемом сервере определенный пользователь (username enumeration).

О проблеме безопасности сообщили эксперты Дариуш Титко и Михал Сайдак.

Исследователи так описывают брешь:

«Мы обнаружили, что удаленный атакующий может вычислить, существует ли определенный пользователь на целевом сервере OpenSSH».

  static int
  userauth_pubkey(struct ssh *ssh)
  {
 ...
 if (!authctxt->valid) {
 debug2("%s: disabled because of invalid user", __func__);
 return 0;
 }
 if ((r = sshpkt_get_u8(ssh, &have_sig)) != 0 ||
 (r = sshpkt_get_cstring(ssh, &pkalg, NULL)) != 0 ||
 (r = sshpkt_get_string(ssh, &pkblob, &blen)) != 0)
 fatal("%s: parse request failed: %s", __func__, ssh_err(r));

Помимо этого, злоумышленник может попытаться аутентифицировать пользователя с помощью специально созданного вредоносного пакета.

На данный момент брешь не имеет CVE-идентификатора, и исследователи убеждены, что ей должны его присвоить.

«Мы считаем, что этой уязвимости нужно дать идентификатор CVE, она затрагивает все существующий версии OpenSSH (мы протестировали вплоть до OpenSSH 2.3.0, выпущенной в ноябре 2000 года)».

Специалисты опубликовали POC-код на GitHub. Они обеспокоены тем, что об уязвимости уже публично известно, а патча все еще нет. Это подвергает многих пользователей риску.

Импортозамещение на шильдиках: китайские ноутбуки выдали за российские

Мособлсуд оставил в силе решение о взыскании почти 370 млн рублей с фигурантов дела о поставках Минобороны китайской техники под видом российской. История тянется с 2016 года. Тогда ведомство заключило контракт на 367,1 млн рублей с ООО «Антей».

По документам компания должна была поставить отечественную технику для работы со служебной информацией.

В итоге в 33 военные организации, включая академии, училища и учебные центры, отправили более 102 тыс. USB-накопителей и 3142 ноутбука.

Вот только российскими они оказались в основном на бумаге, как выяснил «КомерсантЪ».

По версии следствия, технику закупали в Китае через посредников, а уже в России доводили до нужного патриотического вида: устанавливали специальную операционную систему, прикладывали фиктивную документацию, наносили лазерную гравировку «МО» и клеили шильдики «ДЕПО Электроникс».

ФСБ установила, что поставленная продукция не соответствовала условиям контракта и была произведена в Китае. Иными словами, импортной технике устроили быстрый ребрендинг и отправили в войска как отечественную.

Организатором схемы следствие считает владельца DEPO Computers Сергея Эскина. По данным правоохранителей, собственных мощностей для исполнения контракта у него не было, а целью сделки было хищение бюджетных средств.

Сам Эскин находится за границей, объявлен в международный розыск и заочно арестован. До суда дошли десять других фигурантов, включая руководителей и сотрудников связанных компаний. Они получили от пяти до семи лет колонии, позднее троим наказание снизили до трех лет.

Теперь к уголовным срокам добавился и счет: Минобороны добилось взыскания всей суммы ущерба. Получился дорогой урок импортозамещения — китайская техника, российская гравировка и почти 370 млн рублей на выходе.

RSS: Новости на портале Anti-Malware.ru