Hackers exploran directorios que contienen las claves privadas SSH para que puedan entrar en sitios web con las credenciales expuestas accidentalmente.
La autenticacion SSH puede trabajar a traves del modelo de nombre de usuario-password clasico o utilizar la autenticacion basada en clave. Este ultimo funciona cuando los administradores generar un par de claves RSA de encriptacion, hechos de una clave publica y privada. La clave privada se coloca en el servidor que el propietario desea autenticarse, mientras que el usuario guarda la clave privada en un archivo de configuracion de SSH local.Wordfence: Una empresa de seguridad de WordPress con sede en Estados Unidos ha notado desde el 18 de octubre exploraciones masivas para nombres de las carpetas que hacen alusion al atacante donde podria haber estado buscando las llaves privadas SSH.
Los atacantes buscaban directorios web que contienen los terminos, o combinaciones de terminos, tales como "raiz", "ssh", o "id_rsa". Las exploraciones salieron de la nada, ya que habia poca actividad para este tipo de analisis antes de esta semana.
"En las ultimas 24 horas, hemos visto a los nuevos sitios web en masa de escaneo de inicio atacante de claves SSH privadas", dijo Wordfence CEO, Mark Maunder en un informe publicado ayer por la noche."Creemos que este aumento de la actividad puede indicar que un atacante esta teniendo algunos de escaneo exito de las claves privadas y ha decidido incrementar sus esfuerzos. Esto puede indicar un error comun o error operativo que se esta realizando por los propietarios de los sitios de WordPress, por la que las claves privadas estan siendo accidentalmente hecha publica ".
Un informe sobre configuraciones inseguras de SSH podria haber desencadenado las exploraciones
El repentino aumento se explica tambien por un informe publicado a principios de la semana por Venafi, un proveedor de servicios de proteccion de identidad.La compañia llevo a cabo un estudio entre 410 profesionales de la seguridad de TI y encontro "una falta generalizada de los controles de seguridad SSH."
Resumen del informe sobre la vulnerabilidad SSH:- Sesenta y uno por ciento de los encuestados no limitar o controlar el numero de administradores que gestionan SSH; solo el 35 por ciento de cumplir las politicas que prohiben a los usuarios configurar SSH desde sus llaves autorizadas dejando organizaciones de ciegos a los abusos de informacion privilegiada maliciosos.
- El noventa por ciento de los encuestados dijeron que no tienen un inventario completo y preciso de todas las claves SSH lo que no hay manera de determinar si las llaves han sido robadas, mal utilizado o no deben ser de confianza.
- Solo veintitres por ciento de los encuestados girar llaves sobre una base trimestral o mas frecuentes. El cuarenta por ciento dijo que no giran las llaves en todo o solo lo hacen de vez en cuando. Los atacantes que obtienen acceso a las claves SSH tendran acceso privilegiado en curso hasta rotacion de las claves.
- Cincuenta y uno por ciento de los encuestados dijeron que no hacen cumplir "sin reenvio de puertos" para SSH. El reenvio de puertos permite a los usuarios evitan eficazmente los servidores de seguridad entre sistemas por lo que un delincuente con acceso SSH puede rapidamente de pivote a traves de segmentos de red.
- Cincuenta y cuatro por ciento de los encuestados no limitar las ubicaciones desde las que se pueden utilizar claves SSH. Para aplicaciones que no se mueven, lo que restringe el uso de SSH a una direccion IP especifica puede detener criminales ciberneticos utilicen una clave SSH comprometida de forma remota.
- Divulgaciones publicas de errores o informes como estos a menudo desencadenan una reaccion del metro criminal cibernetico, que son tan avidos lectores de los sitios infosec con temas como son los profesionales de seguridad.
