Um bug no OpenSSH, software mais popular para acesso remoto seguro de sistemas baseados em UNIX, pode permitir que cibercriminosos contornem as restrições de repetição de autenticação e executem diversas suposições de senhas com objetivo de adivinhá-las.

Um pesquisador de segurança digital, que utiliza o pseudônimo online de Kingcope, divulgou o assunto em seu blog na semana passada. Segundo ele, por padrão, os servidores OpenSSH permitem que seis tentativas de autenticação sejam realizadas antes de fechar uma conexão. No entanto, os servidores OpenSSH com autenticação de teclado interativo habilitado, que corresponde a configuração padrão em muitos sistemas, incluindo os do FreeBSD, podem ser enganados por permitir que muitas tentativas de autenticação sejam realizadas em uma única conexão.

“Com esta vulnerabilidade, um atacante é capaz de inserir muitas senhas dentro do tempo limitado de dois minutos”, afirma Kingcope. Dependendo do servidor e da conexão, dois minutos poderiam permitir milhares de tentativas, o que seria suficiente para adivinhar senhas fracas ou comuns utilizadas pelos usuários. De acordo com uma discussão no Reddit, a utilização de autenticação de chave pública não impede este tipo de ataque, visto que a autenticação de teclado interativo é um subsistema diferente que também depende de senhas.

O OpenSSH (Open Secure Shell) é uma coleção de softwares que garantem a criptografia em sessões de comunicações em uma determinada rede de computadores utilizando o protocolo SSH.

Para se proteger contra ataques como esse, é aconselhado utilizar senhas complexas, alternando entre letras maiúsculas, letras minúsculas, números e caracteres especiais. Utilizar senhas para diferentes serviços também é uma ótima recomendação.

Com informações de PCWorld, Kingcope, Reddit e Canaltech.