Je vous annonçais le 23 Juin une augmentation importantes des scan SSH, et cette activité anormale me laissez sur ma faim et je suspectais un 0Day SSH en cours d’exploitation.

La rumeur de 0Day OpenSSH est confirmé par le ISC SANS et par une source qui a contacté le SANS. Cette source confirme l’existence d’un 0Day, que celui-ci est activement utilisé, et sera rendu public avant les conférences BlackHat et DefCon, qui auront lieu fin Juillet.

Les créateurs du logiciels OpenSSH réagissent sur l’éventuel 0Day, et considère que l’alerte n’a pas de sens.

Le premier log sur Secer remonte une trace éventuelle de l’attaque avec simplement ces données :

anti-sec:~/pwn/xpl# ./0pen0wn -h xx.yy.143.133 -p 22
[+] 0wn0wn – anti-sec group
[+] Target: xx.yy.143.133
[+] SSH Port: 22

Rien de très particulier à par le nom de l’exploit “0pen0wn” et le fait qu’effectivement il viserai les services SSH-2.0-OpenSSH_4.3 (versionning à prendre avec des pincettes).

Un deuxième log plus intéressant, sur SecurityEagis.com et ici , nous donnes un peu plus de détails sur l’exploit qui serait utilisé.

anti-sec:~/pwn/xpl# ./openPWN -h 66.96.220.213 -p 2222 -l=users.txt
[+] openPWN - anti-sec group
[+] Target: 66.96.220.213
[+] SSH Port: 2222
[+] List: users.txt
[~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~>]

L’on peut remarquer qu’un module du type brute force est aussi implémenté dans l’outil. Quel intérêt d’avoir ce type de module dans un 0Day donnant directement accès à la machine ?? La seul relation serait éventuellement l’énumération possible d’utilisateur autorisé à se connecter en ssh …

Le SANS confirme aussi mon étonnement sur l’utilisation d’un module brute force, et il apparaît de plus en plus que cette alerte n’est qu’un Hoax.

Si cela vous intéresse, vous pourrez retrouver ci-dessous les logs des tentatives de brutes force ssh sur zataz :

Updates :