Nul
Alle SCP (Secure Copy Protocol) implementaties van de laatste 36 jaar, sinds 1983, zijn kwetsbaar voor vier beveiligingsproblemen die een kwaadwillende SCP-server te maken van niet-geautoriseerde wijzigingen aan de opdrachtgever (gebruiker) systeem en het verbergen van kwaadwillende activiteiten in de terminal.
De lekken zijn ontdekt door Harry Sintonen, een security-onderzoeker met finse cyber-beveiligingsbedrijf F-Secure, die al sinds augustus vorig jaar hebben ze vast en gepatched in de grote apps die ondersteuning voor het SCP-protocol.
Voor onze lezers die niet vertrouwd met het SCP, het protocol is een “veilige” de uitvoering van de RCP (Remote Copy Protocol) – een protocol voor het overbrengen van bestanden over een netwerk.
SCP werkt op de top van het SSH-protocol ondersteunt een authenticatie mechanisme voor het aanbieden van authenticiteit en vertrouwelijkheid voor de overgedragen bestanden, net zoals SSH biedt hetzelfde voor de oudere en onzeker Telnet protocol.
Sinds de eerste release terug in 1983, SCP is gebruikt als een stand-alone app onder dezelfde naam, maar is ook ingebed in andere apps. Bijvoorbeeld, SCP is de standaard methode voor OpenSSH, Putty en WinSCP.
Wanneer gebruikers bestanden tussen een server en de cliënt (of vice versa) via deze apps, die overdracht worden, buiten het medeweten van de gebruiker, overgebracht via de SCP-protocol –tenzij gebruikers hebben gekozen voor het gebruik het SFTP protocol als de standaard modus voor gegevensoverdracht.
In een security advisory gepubliceerd op zijn persoonlijke website vorige week, Sintonen gewezen op het bestaan van de vier grote security bugs die van invloed SCP-implementaties:
- CVE-2018-20685 – Een SCP-client app maakt het mogelijk een externe SCP-server voor het wijzigen van machtigingen van de map.CVE-2019-6111 – EEN kwaadaardige SCP-server kan overschrijven met willekeurige bestanden in de SCP-client doelmap. Als een recursieve operatie (-r) is uitgevoerd, kan de server manipuleren submappen (bijvoorbeeld overschrijven .ssh/authorized_keys).CVE-2019-6109 – De terminal client-uitgang kan worden gemanipuleerd via ANSI-code te verbergen voor latere bewerkingen.CVE-2019-6110 – dezelfde als hierboven.
De problemen hebben hun wortels in de originele BSD uitvoering van de RCP-protocol, wat betekent dat alle SCP-implementaties in de afgelopen 36 jaar zijn getroffen, hoewel in mindere mate.
|
SCP uitvoering |
Versie |
#1 |
#2 |
#3 |
#4 |
|
OpenSSH SCP |
<=7.9 |
x |
x |
x |
x |
|
PuTTY PSCP |
? |
– |
– |
x |
x |
|
WinSCP SCP-modus |
<=5.13 |
– |
x |
– |
– |
Sintonen adviseert het toepassen van een beschikbare patches voor de vermelde cliënten. Op het moment van schrijven, alleen de WinSCP team heeft zich met de gemelde problemen, met de release van WinSCP 5.14.
Als het patchen is niet een optie in of uit de controle van de gebruiker, gebruikers worden geadviseerd om configureren SCP klanten op verzoek van bestanden via SFTP (Secure FTP) als dat mogelijk is.
Opgemerkt moet worden dat alle aanvallen proberen deze kwetsbaarheden alleen misbruiken rekenen op een kwaadwillende partij de overname van een SCP-server, of in een Man-in-the-Middle ‘ – positie, hoewel de MitM-aanval zou gemakkelijker zijn te herkennen aan het vereist het slachtoffer te accepteren onder de verkeerde host vingerafdruk.
Gebruikers die denken dat ze beïnvloed kunnen worden een oogje kunt houden op Sirtonen de security advisory voor bijgewerkte informatie voor aankomende patches naar andere SCP klanten, na dit artikel de datum van publicatie. We zullen ons best doen om dit artikel up-to-date.
Meer cybersecurity nieuws:
Details gepubliceerd over kwetsbaarheden in populaire toegang tot het gebouw systemG Suite update waarschuwt u wanneer iemand het exporteren van de gegevens van uw bedrijf
NASA interne app gelekt medewerker e-mails, project namesNew hulpprogramma automatiseert phishing-aanvallen die bypass 2FA
Zerodium zal betalen nu $2 miljoen voor Apple iOS remote jailbreaksMost thuis routers geen gebruik maken van het Linux verbeterde beveiligingsfuncties
Google nu kunt u doneren aan goede doelen via de Play Store CNETPhishing en spearphishing: Een cheat sheet for business professionals TechRepublic
Verwante Onderwerpen:
Open Source
Beveiliging TV
Data Management
CXO
Datacenters
0