Llaves SSH son blanco de nuevos ataques de hackers

Las llaves privadas son el objetivo de los hackers, quienes han realizado el escaneo de miles de servidores alojando sitios web en Wordpress en busca de ellas. Desde el lunes, investigadores de seguridad indicaron que han observado a una sola entidad escaneando a más de 25 mil sistemas al día buscando llaves SSH vulnerables para comprometer los sitios web.

“Lo que disparó nuestra preocupación fue un cliente que nos notificó que ha estado monitoreando su tráfico en tiempo real y mirando los escaneos en busca de las llaves SSH”, indicó Mark Maunder, CEO de WordFence, en entrevista. “Cuando examinamos nuestros honeypots encontramos que no es un caso aislado y que 25 mil escaneos tuvieron lugar por oleadas cada día”.

Estos escaneos comenzaron el lunes y continúan, indicó Maunder en una entrada de blog. Los adversarios están empleando términos como “root”, “ssh” o “id_rsa” esperando encontrar directorios web que contengan las llaves SSH privadas, muy probablemente almacenadas en directorios públicos.

SSH (Secure Shell) es un protocolo criptográfico de red ampliamente usado para asegurar el inicio de sesión en sistemas de cómputo remotos. El robo exitoso de una llave privada puede dar acceso a un usuario malicioso a un servidor o sistema donde la llave privada es empleada para autenticación. Este riesgo, indicaron expertos en seguridad, no está limitado solo a WordPress, sino también a sistemas Linux y Unix y dispositivos embebidos que también confían fuertemente en SSH para la seguridad en el inicio de sesión y las conexiones.

“Escanear en busca de llaves privadas de SSH en los directorios web públicos no es nuevo. Pero el tipo de incremento que estamos viendo es alarmante”, indicó Justin Jett, director de auditoría y cumplimiento para Plixer.

Indicó que raramente se siguen buenas prácticas de seguridad en SSH. A diferencia de los certificados digitales que expiran, SSH no tiene fecha de caducidad y las contraseñas casi nunca se cambian.

“Encontramos que muchos negocios y empresas no tienen idea de qué son las llaves SSH o como gestionarlas”, indicó Kevin Bocet, vicepresidente de estrategia de seguridad para Venafi. “Desafortunadamente SSH es un secreto de los administradores de sistemas, quienes las crean y gestionan”.

Bocek indicó que Venafi ha visto recientemente un incremento en el escaneo en busca de llaves SSH no solo en directorios web públicos, sino también en repositorios de Git, SVN o subversion.

Las llaves privadas nunca deben ser almacenadas en directorios públicamente accesibles. Sin embargo, a menudo los administradores pierden el seguimiento de las llaves SSH y alojan las llaves públicas y privadas en línea.

“Las llaves SSH expuestas presentan una gran amenaza para las organizaciones. Cualquiera que gane acceso a ellas, tiene la ‘llave del reino’”, indicó Jett.

Un reporte de Venafi descubrió que las compañías carecen de controles suficientes para SSH. Un estudio de 410 profesionales de seguridad en TI por la compañía encontró que el 54% de los encuestados indicó que no limitan las ubicaciones desde la cual se puede emplear las llaves SSH. También encontró que 61% de los encuestados no limita ni controla el número de administradores que gestionan SSH.