Se ha publicado un bug en el ampliamente usado software OpenSSH que le permitiría a los atacantes hacer miles de intentos de adivinación de contraseñas en un período de tiempo muy corto.

De acuerdo a Ars Technica, el bug ha existido desde 2007 y significa que un atacante tendría mucho más tiempo que el usual para emplear un ataque de fuerza de bruta para lograr un acceso. En condiciones normales, OpenSSH permite tres o seis intentos de acceso antes de cortar la conexión, pero este nuevo exploit permite a los atacantes tener un período de dos minutos para probar cuantas contraseñas quieran.

El error fue revelado en un post por un grupo de investigadores llamado KingCope, quienes dijeron "Una manera simple de explotar este bug es ejecutar este comando: ssh -lusername -oKbdInteractiveDevices=`perl -e ‘print “pam,” x 10000’` targethost Esto permitirá hasta 10.000 intentos solo limitados por el tiempo permitido."

KingCope además dijo "La parte crucial es que si el atacante solicita 10.000 dispositivos interactivos con teclado, OpenSSH ejecutará el pedido e ingresará en un loop para aceptar contraseñas hasta que los dispositivos especificados han sido excedidos."

The Register reporta que el bug afecta a la última versión de OpenSSH, pero que las instalaciones que utilizan exclusivamente llaves encriptadas para autenticación no son vulnerables dado que la falla depende de contraseñas ingresadas a través de teclados. Los administradores de sistema que estén utilizando fail2ban o pam-shield deberían estar, en teoría, seguros ya que los intentos de acceso fallidos pueden ser detectados y las direcciones IP que intentan fuerza bruta, prohibidas. Reducir el período de gracia a 20 o 30 segundos es otra medida de mitigación.