Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Олег Иванов 17 Августа 2018 - 08:23

...

Брешь OpenSSH позволяет найти пользователей на сервере, патча пока нет

Исследователи сообщают о серьезной уязвимости в OpenSSH, которая позволяет удаленному злоумышленнику определить, есть ли на атакуемом сервере определенный пользователь (username enumeration).

О проблеме безопасности сообщили эксперты Дариуш Титко и Михал Сайдак.

Исследователи так описывают брешь:

«Мы обнаружили, что удаленный атакующий может вычислить, существует ли определенный пользователь на целевом сервере OpenSSH».

  static int
  userauth_pubkey(struct ssh *ssh)
  {
 ...
 if (!authctxt->valid) {
 debug2("%s: disabled because of invalid user", __func__);
 return 0;
 }
 if ((r = sshpkt_get_u8(ssh, &have_sig)) != 0 ||
 (r = sshpkt_get_cstring(ssh, &pkalg, NULL)) != 0 ||
 (r = sshpkt_get_string(ssh, &pkblob, &blen)) != 0)
 fatal("%s: parse request failed: %s", __func__, ssh_err(r));

Помимо этого, злоумышленник может попытаться аутентифицировать пользователя с помощью специально созданного вредоносного пакета.

На данный момент брешь не имеет CVE-идентификатора, и исследователи убеждены, что ей должны его присвоить.

«Мы считаем, что этой уязвимости нужно дать идентификатор CVE, она затрагивает все существующий версии OpenSSH (мы протестировали вплоть до OpenSSH 2.3.0, выпущенной в ноябре 2000 года)».

Специалисты опубликовали POC-код на GitHub. Они обеспокоены тем, что об уязвимости уже публично известно, а патча все еще нет. Это подвергает многих пользователей риску.

Следующая главная новость »

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 21 Апреля 2026 - 17:25

Трояны Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи ГК «Солар»

Шокирующие ролики о ДТП оказались приманкой для кражи паролей и данных

Мошенники нашли ещё один способ сыграть на эмоциях пользователей, на этот раз через шокирующие сюжеты об автоавариях. Как сообщили эксперты центра мониторинга внешних цифровых угроз Solar AURA группы компаний «Солар», злоумышленники начали использовать фишинговые сайты, которые обещают показать видео ДТП, а на деле подсовывают пользователю вредонос.

Одна из обнаруженных схем маскировалась под страницу «Госавтоинспекции». Пользователю сообщали, что он якобы может посмотреть запись собственного нарушения за рулём.

Для этого предлагалось скачать специальное приложение, через которое якобы открывается доступ к видео. Но вместо ролика человек получал вредоносную программу.

По данным экспертов, такой файл может красть с устройства конфиденциальную информацию, в том числе пароли от банковских приложений, мессенджеров и других онлайн-сервисов.

Была и вторая схема с «эксклюзивными видео страшных автоаварий». Для правдоподобия злоумышленники указывали дату, примерное время ДТП, а иногда даже число погибших и пострадавших. Эти детали могли быть как полностью выдуманными, так и собранными из открытых криминальных сводок и новостей.

Дальше всё происходило по уже знакомому сценарию: пользователю предлагали скачать «видеозапись» или программу для её просмотра. На самом деле под этим снова скрывался зловред. Как уточнили в «Солар», оба выявленных сайта к моменту публикации уже были заблокированы.

Эксперты отдельно обращают внимание, что опасность здесь не только в самой фишинговой приманке, но и в начинке таких файлов. Вредоносная нагрузка может быстро меняться, буквально каждый час. Это может быть как стилер для кражи данных, так и RAT, который даёт злоумышленникам удалённый доступ к устройству.

Именно поэтому схема получается особенно опасной: пользователь думает, что открывает видео или служебное уведомление, а в итоге сам запускает программу, которая начинает вытаскивать данные или даже брать устройство под контроль.

Атаки на цепочку поставок: как защититься до компрометации?
Регистрируйтесь на эфир!