Vulnerabilidad crítica en #libSSH (Parchea YA!)

Hace algunas horas las redes sociales se incendiaban por un nuevo fallo de seguridad descubierto en el conjunto de librerías libssh. Este fallo de seguridad es, probablemente, uno de los más absurdos y peligrosos que hayamos podido ver en una herramienta tan crítica para la seguridad como esta.

Esta vulnerabilidad, registrada como CVE-2018-10933, se puede explotar fácilmente simplemente presentando a un servidor un mensaje “SSH2_MSG_USERAUTH_SUCCESS” en vez de un mensaje “SSH2_MSG_USERAUTH_REQUEST” cuando se intenta iniciar sesión, lo que permite que cualquiera se autentique en el servidor sin necesidad ni siquiera de un usuario o una contraseña.

La única forma de proteger nuestros servidores de esta vulnerabilidad es instalando las últimas versiones de libssh en ellos. Desde hace algunas horas ya están disponibles las actualizaciones 0.8.4 y 0.7.6 de estas librerías, versiones que ya corrigen este grave fallo de seguridad y permite volver a proteger los datos del servidor.

Miles de servidores vulnerables con libssh al alcance de cualquiera con una simple búsqueda en Shodan

Realizando una búsqueda de equipos con el puerto 22 abierto y que utilicen libssh podemos ver cómo, en segundos, podemos encontrar miles de servidores vulnerables, sin actualizar, que fácilmente podrían verse comprometidos por esta vulnerabilidad.

Por ello, es muy importante asegurarnos de instalar la última versión de libssh en nuestro servidor para evitar que este fallo de seguridad pueda poner gravemente en peligro nuestra seguridad. También es recomendable actualizar cuanto antes todas las aplicaciones (clientes) que utilicen estas librerías, para mayor seguridad.

FuenteLibssh

Share

This entry was posted in 0-day, bugs, ssh, updates. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.