Bonjour, La faille OpenSSH n'a jamais été liée à un quelconque brute-froce, et c'est bien pour cela qu'elle fait tant de bruit. Exit donc, pour l'instant, les solutions de type Iptables ou Fail2ban, les IPS ne pourront rien tant que n'aura pas été révelée l'endroit exact de la faille, ni même les versions exactes de SSH.
A ce jour, l'ISC à publié une story là dessus, mais peu de nouvelles aujourd'hui. http://isc.sans.org/diary.html?storyid=6742 Le problème c'est que l'équipe anti-sec est connue pour ne pas réveler ses exploits, sauf quand la leçon est méritée. Pour OpenSSH, ils ont puni un néo-zélandais, et l'histoire a très vite fait du bruit, ce qui a poussé anti-sec a faire une petite note rendue publique. Rien n'indique que l'exploit soit récent, rien n'indique non plus qu'il concerne uniquement les version 4.3 comme c'est souvent écrit : anti-sec s'est servi d'un outil qui leur est propre, et la seule chose qui ait changé depuis le début de cette affaire, c'est qu'on connait l'existence de cet outil, qui est peut-être né il y a plusieurs années (il y a de fortes chances qu'il soit né à la même époque qu'OpenSSH 4.3). Maintenant que cette existence est rendue publique, il y a des chances qu'anti-sec fasse une conf dessus. Mes recommandations sont les mêmes que celles de Thomas Mangin, à savoir la dissimulation derrière un VPN si la possibilité de couper le SSH n'est pas offerte. La mise à jour vers OpenSSH 5.2 pourrait créer un faux sentiment de sécurité, en l'absence d'infos concrète sur les capacités de l'outil d'anti-sec. B.R. Sébastien BAUDRU Sebastien gioria a écrit : > > Le 9 juil. 09 à 10:19, Benjamin BILLON a écrit : > >>> Rien a voir... >> Si, à bloc ! >> On a enfin des posts constructifs dénués de geigneries et autres >> plaintes molles. >> (et l'exploit se basant sur une attaque dictionnaire, c'est plus un >> faille de configuration et donc humaine que de l'outil lui-même) > > ce n'est plus une faille si cela se base sur une attaque brute-force > de dico :) C'est une feature :) > > en même temps, avant de crier au loup, il serait bon de regarder les > logs....a priori il n'y a pas plus de scans/attaques que d'habitude sur > ce port....De même si on lit bien, la "faille", si elle existe ne cible > pas tous les OS.... > > PS: cela ne remet pas en cause la bonne qualité du CLI IOS proposé qui > devrait être la configuration standard fournie par Cisco :) > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ > > -- DRASTIC - Sébastien BAUDRU Sécurité des architectures informatique et des systèmes d'information ______________________________________________________________________ http://www.drastic-securite.com Z.I. Petite Savate - 59600 Maubeuge (Nord, France) sebast...@drastic-securite.com 03.27.64.66.50 <> 06.37.89.36.31 --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
