L'équipe Vigil@nce veille les vulnérabilités publiques qui affectent votre parc informatique, puis propose des correctifs sécurité, une base de données de vigilance et des outils pour y remédier.

Vulnérabilité de OpenSSH : contournement de MaxAuthTries via KbdInteractiveDevices

Synthèse de la vulnérabilité 

Un attaquant peut contourner la directive MaxAuthTries de OpenSSH, afin de mener une attaque par brute force.
Logiciels vulnérables : Blue Coat CAS, Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, FreeBSD, Juniper J-Series, Junos OS, Junos Space, NSM Central Manager, NSMXpress, McAfee NSP, McAfee Web Gateway, Data ONTAP 7-Mode, OpenSSH, Oracle Communications, Solaris, pfSense, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.
Gravité de cette annonce : 2/4.
Date de création : 20/07/2015.
Références de cette vulnérabilité informatique : 9010048, bulletinoct2015, CERTFR-2015-AVI-431, CERTFR-2017-AVI-012, CERTFR-2017-AVI-022, cpujul2018, CVE-2015-5600, DLA-1500-1, DLA-1500-2, DSA-2019-197, FEDORA-2015-11981, FEDORA-2015-13469, FreeBSD-SA-15:16.openssh, JSA10697, JSA10774, JSA10840, K17113, NTAP-20151106-0001, RHSA-2015:2088-06, RHSA-2016:0466-01, SB10157, SB10164, SOL17113, SUSE-SU-2015:1581-1, SYMSA1337, USN-2710-1, USN-2710-2, VIGILANCE-VUL-17455.

Description de la vulnérabilité 

Le serveur OpenSSH utilise la directive de configuration MaxAuthTries pour définir le nombre maximal de tentatives d'authentification dans une session.

Le client OpenSSH utilise l'option KbdInteractiveDevices pour définir la liste des méthodes d'authentification.

Cependant, si le client emploie "KbdInteractiveDevices=pam,pam,pam,etc.", le nombre MaxAuthTries est multiplié d'autant. La limite devient alors LoginGraceTime (10 minutes par défaut).

Un attaquant peut donc contourner la directive MaxAuthTries de OpenSSH, afin de mener une attaque par brute force.
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Cette alerte cybersécurité concerne les logiciels ou systèmes comme Blue Coat CAS, Debian, VNX Operating Environment, VNX Series, BIG-IP Hardware, TMOS, Fedora, FreeBSD, Juniper J-Series, Junos OS, Junos Space, NSM Central Manager, NSMXpress, McAfee NSP, McAfee Web Gateway, Data ONTAP 7-Mode, OpenSSH, Oracle Communications, Solaris, pfSense, RHEL, SUSE Linux Enterprise Desktop, SLES, Ubuntu.

Notre équipe Vigil@nce a déterminé que la gravité de cet avis de menace est moyen.

Le niveau de confiance est de type confirmé par l'éditeur, avec une provenance de client intranet.

Un démonstrateur ou un outil d'attaque est disponible, donc vos équipes doivent traiter cette alerte. Un attaquant avec un niveau de compétence technicien peut exploiter cette annonce de menace informatique.

Solutions pour cette menace 

OpenSSH : version 7.0.
La version 7.0 est corrigée :
  http://www.openssh.com/

OpenSSH : patch pour MaxAuthTries.
Un patch est disponible dans les sources d'information.

OpenSSH : contre-mesure pour MaxAuthTries.
Une contre-mesure consiste à :
 - sous FreeBSD : utiliser la fonctionnalité "overload" du firewall PF
 - sous les autres systèmes : utiliser la fonctionnalité du firewall permettant de limiter le nombre de connexions depuis une adresse IP/réseau
 - baisser LoginGraceTime à 30 secondes

Blue Coat Content Analysis System : versions corrigées pour OpenSSH.
Les versions corrigées sont indiquées dans les sources d'information.

Debian 8 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  Debian 8 : openssh 1:6.7p1-5+deb8u7

Dell EMC VNXe : version MR4 Service Pack 5.
La version MR4 Service Pack 5 est corrigée :
  https://www.dell.com/support/

F5 BIG-IP : solution pour OpenSSH.
La solution est indiquée dans les sources d'information.

Fedora : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  Fedora 21 : openssh 6.6.1p1-16.fc21
  Fedora 22 : openssh 6.9p1-3.fc22

FreeBSD : patch pour OpenSSH.
Un patch est disponible :
  https://security.FreeBSD.org/patches/SA-15:16/openssh-8.patch
  https://security.FreeBSD.org/patches/SA-15:16/openssh-8-errata.patch
  https://security.FreeBSD.org/patches/SA-15:16/openssh.patch

ITeFix Copssh : version 5.3.0.
La version 5.3.0 est corrigée :
  https://www.itefix.net/software

Juniper Junos : versions corrigées pour OpenSSH.
Les versions corrigées sont indiquées dans les sources d'information.

Juniper NSM Appliance : patch pour Upgrade Package v3.
Un patch est disponible :
  http://www.juniper.net/support/downloads/?p=nsm#sw

Junos Space Security Director and Log Collector : version 17.2R1.
La version 17.2R1 est corrigée.

McAfee Network Security Platform : versions corrigées pour OpenSSH.
Les versions corrigées sont indiquées dans les sources d'information.

McAfee Web Gateway : versions 7.5.2.9 et 7.6.2.1.
Les versions 7.5.2.9 et 7.6.2.1 sont corrigées :
  https://kc.mcafee.com/corporate/index?page=content&id=KB56057

NetApp Data ONTAP : patch pour OpenSSH MaxAuthTries.
Un patch est disponible :
  Data ONTAP Edge : http://mysupport.netapp.com/NOW/cgi-bin/bol?Type=Detail&Display=930626

Oracle Communications : CPU de juillet 2018.
Un Critical Patch Update est disponible :
  https://support.oracle.com/rs?type=doc&id=2410237.1
  https://support.oracle.com/rs?type=doc&id=2406191.1
  https://support.oracle.com/rs?type=doc&id=2410234.1
  https://support.oracle.com/rs?type=doc&id=2408211.1
  https://support.oracle.com/rs?type=doc&id=2406689.1
  https://support.oracle.com/rs?type=doc&id=2408212.1
  https://support.oracle.com/rs?type=doc&id=2410243.1
  https://support.oracle.com/rs?type=doc&id=2410198.1

pfSense : version 2.2.5.
La version 2.2.5 est corrigée :
  https://pfsense.org/download/

RHEL 6.7 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  RHEL 6 : openssh 5.3p1-114.el6_7

RHEL 7 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  RHEL 7 : openssh 6.6.1p1-22.el7

Solaris : patch pour Third Party (10/2015).
Un patch est disponible :
  https://support.oracle.com/rs?type=doc&id=1448883.1

SUSE LE 11 SP3 : nouveaux paquetages openssh.
De nouveaux paquetages sont disponibles :
  SUSE LE 11 SP3 : openssh 6.2p2-0.21.1

Ubuntu : nouveaux paquetages openssh-server.
De nouveaux paquetages sont disponibles :
  Ubuntu 15.04 : openssh-server 1:6.7p1-5ubuntu1.3
  Ubuntu 14.04 LTS : openssh-server 1:6.6p1-2ubuntu2.3
  Ubuntu 12.04 LTS : openssh-server 1:5.9p1-5ubuntu1.7
Bulletin complet, filtrage par logiciel, emails, correctifs, ... (Demandez votre essai gratuit)

Service de veille sur les vulnérabilités informatiques 

Vigil@nce fournit des annonces de vulnérabilités applicatives. Chaque administrateur peut personnaliser la liste des produits pour lesquels il souhaite recevoir des alertes de vulnérabilités.