O protocolo SSH (Secure Shell) é fundamental para a administração remota segura de sistemas Linux e Unix, as preocupações com a segurança cibernética estão cada vez mais em destaque. No entanto, a exposição desnecessária de portas SSH à internet pode criar uma porta de entrada para ataques cibernéticos. Além disso, uma vulnerabilidade recente no pacote xz-utils, presente em diversas distribuições Linux, pode permitir a execução de comandos arbitrários RCE por um invasor.
Este artigo abordará a importância de proteger as portas de SSH, bem como a recente vulnerabilidade de backdoor descoberta no xz-utils, juntamente com práticas recomendadas para evitar essa vulnerabilidade.
Riscos das Portas SSH Expostas:
Uma análise recente foi descoberto mais de 9 mil portas abertas do protocolo ssh entre eles porta padrão 22 entre outras, há uma grande discursão entre os especialistas sobre a real necessidade de exposição externa do protocolo ssh, tendo em vista o alto risco de segurança.
Riscos existentes:
- Ataques de força bruta: Invasores podem tentar adivinhar a senha do usuário através de ataques automatizados.
- Ataques de dicionário: Dicionários de senhas podem ser usados para tentar acessar o sistema.
- Exploração de vulnerabilidades: Vulnerabilidades no software SSH podem ser exploradas para obter acesso não autorizado.
- Ataques de malware: Malware pode ser instalado no sistema através de uma conexão SSH.
- Instalação de Backdoors e Malware: Uma vez comprometido um sistema, os invasores podem instalar backdoors e malware para acesso contínuo e exploração posterior.
Vulnerabilidade Recente no xz-utils:
Existem algumas vulnerabilidades importantes no xz-utils, entre elas, foi encontrado recente a partir das versões 5.6.0 a 5.6.1, contendo um backdoor (CVE-2024-3094). Outra vulnerabilidade foi a de estouro de buffer no pacote xz-utils (CVE-2023-20048) permite que um invasor execute comandos arbitrários no sistema se ele conseguir que o usuário execute um arquivo xz malicioso.
O pacote “xz-utils” é uma ferramenta de compactação de arquivos no formato XZ, que é um algoritmo de compactação de dados de alta eficiência e baixo consumo de CPU. O serviço SSH (OpenSSH): Andres Freund (desenvolvedor do Projeto OpenWall) descobriu a existência de códigos maliciosos implantados na biblioteca LZMA (liblzma).
Ele interfere na autenticação sshd via systemd, permitindo acesso não autorizado utilizando o protocolo SSH, de modo que os atores maliciosos podem conseguir acesso a todo o sistema remotamente RCE(Execução Remota de Código). É uma vulnerabilidade grave que pode ser explorada para comprometer sistemas e redes, por esse motivo foi classificada com alto risco.
Formas de Evitar a Vulnerabilidade:
Para mitigar os riscos associados à exposição de portas de SSH e à vulnerabilidade do xz-utils, é fundamental adotar práticas de segurança proativas. Aqui estão algumas recomendações:
Atualizar o pacote xz-utils: Instale a última atualização do pacote xz-utils da sua distribuição Linux. Com o seguintes comandos abaixo.
Verifique se está na versão mais recente:
Outras proteções:
Utilize Chaves SSH em Vez de Senhas: Configure a autenticação baseada em chaves SSH em vez de senhas, pois isso é mais seguro contra ataques de força bruta.
Implemente Listas de Controle de Acesso (ACLs): Configure listas de controle de acesso para restringir o acesso às portas de SSH apenas a endereços IP confiáveis.
Monitore e Registre Atividades de SSH: Mantenha registros detalhados das atividades de login SSH para detectar e responder a tentativas de acesso não autorizado.
Desabilitar o uso de xz para descompactação: Configure o sistema para usar outros utilitários de descompactação, como gzip ou bzip2.
Ter cuidado ao baixar e executar arquivos xz: Desconfie de arquivos xz de fontes desconhecidas.
Utilizar um firewall para bloquear o acesso à porta SSH: Limite o acesso à porta SSH a endereços IP confiáveis.
Utilizar chaves SSH em vez de senhas: As chaves SSH são mais seguras que senhas e oferecem autenticação multifator.
Manter o software atualizado: Mantenha o sistema operacional e o software instalado atualizados com os últimos patches de segurança.
Conclusão
A combinação de portas SSH expostas e vulnerabilidades como a da vulnerabilidade do “xz-utils”, representa um risco significativo para a segurança dos sistemas Linux. Ao tomar as medidas de precaução descritas neste artigo, você pode minimizar os riscos e proteger seus sistemas contra ataques cibernéticos. Desta forma as medidas preventivas a vulnerabilidades conhecidas, os usuários e organizações podem fortalecer sua postura de segurança cibernética e reduzir o risco de comprometimento de dados e violações de segurança.
Fontes
https://www.kali.org/blog/about-the-xz-backdoor/
CVE-2023-20048: https://nvd.nist.gov/vuln/detail/CVE-2023-20048
Recomendações de segurança para SSH: https://codigofacilito.com/articulos/tips-ssh
Guia de atualização de software: https://br.crucial.com/articles/pc-users/keeping-your-computer-up-to-date
https://en.fofa.info/result?qbase64=Y291bnRyeT0iQlIiICYmIHByb3RvY29sPSJzc2giIA%3D%3D