По наблюдениям ИБ-экспертов, киберпреступники развернули активный поиск слабых приватных ключей SSH на тысячах серверов с веб-сайтами на WordPress. Ежедневно злоумышленники прочесывают около 25 тыс.ресурсов.

«Наше внимание привлекла жалоба клиента, который мониторил свой трафик в реальном времени и увидел, что кто-то сканирует его на наличие SSH-ключей, — сообщил Threatpost Марк Мондер (Mark Maunder), генеральный директор WordFence. — Мы проверили собственные ловушки для хакеров (honeypot) и обнаружили, что случай не единичный: ежедневно сканируется около 25 тысяч систем».

Как сообщил Мондер в своем блоге, сканирование началось в понедельник и продолжается до сих пор. Злоумышленники анализируют серверы по ключевым словам root, ssh или id_rsa в надежде найти веб-каталоги с приватными ключами SSH, по ошибке хранящиеся в свободном доступе. Для проверки наличия общедоступных ключей на своем сайте Мондер предложил воспользоваться сервисом GravityScan.

SSH (Secure Shell) — это самый популярный сетевой протокол шифрования данных для безопасного входа в удаленные компьютерные системы. После кражи приватного ключа преступник может получить доступ к любому серверу или системе, проверяющим права с помощью этого ключа. Эксперты предупреждают, что риску подвержены не только сайты WordPress, но и системы Linux или Unix, а также встроенные устройства — то есть любые системы, которые организуют безопасный вход и соединение на основе SSH.

«Сканирование общедоступных каталогов на наличие приватных ключей SSH — далеко не новая техника. Но наблюдаемый всплеск активности вызывает опасения», — сообщил Джастин Джетт (Justin Jett), руководитель контрольно-ревизионного отдела Plixer.

По мнению Джетта, очень немногие компании следуют надлежащим практикам безопасности SSH. И это весьма опасно, поскольку, в отличие от цифровых сертификатов с ограниченным сроком годности, ключи SSH действуют постоянно, а пароли пользователи меняют редко.

«Мы часто сталкиваемся с тем, что большинство предприятий и организаций понятия не имеют, что такое SSH-ключи и как ими управлять, — заявил Кевин Бочек (Kevin Bocek), вице-президент по стратегии безопасности в компании Venafi. — К сожалению, SSH полностью отдаются на откуп системным администраторам, которые их создают и обслуживают».

По словам Бочека, специалисты Venafi также отметили рост числа сканирований SSH-ключей как в общедоступных каталогах, так и в Git, SVN (или Subversion) и других репозиториях.

Несмотря на то, что приватные ключи нельзя хранить в общедоступных каталогах, администраторы слишком часто забывают за этим следить и публикуют в Сети как общедоступные, так и приватные ключи.

«Забытые в общем доступе SSH-ключи представляют огромную опасность. Найдя их, преступник может сделать с системой что угодно», — добавил Джетт.

Ранее на этой неделе специалисты Venafi опубликовали доклад, согласно которому организации уделяют недостаточно внимания безопасности SSH-ключей. В ходе опроса 410 специалистов по IT-безопасности более половины респондентов (54%) ответили, что не ограничивают места, из которых можно воспользоваться SSH-ключами. Кроме того, 61% респондентов не ограничивают число администраторов, которые управляют SSH-ключами, и не отслеживают их действия.

Категории: Кибероборона, Уязвимости