Názory k článku OpenSSH obsahuje chybu umožňující ukrást klientské klíče

„Klíče jsou asymetrické, takže je jedno, jestli máte jen jeden klíč všude nebo jich máte víc.“ – Mimo kontext tohoto bezpečnostního problému možná, ale v tomto kontextu toto tvrzení nedává smysl.

„SSH ve výchozí konfiguraci čte všechny klíče, tedy v paměti, odkud je ten útok krade, budou stejně.“ – Pokud vím, tak se různé klíče používají právě různou konfigurací pro různé cíle.

GOTO http://www.root.cz/clanky/openssh-obsahuje-chybu-umoznujici-ukrast-klientske-klice/nazory/718526/

ad 2)

Tohle se nastavuje v MaxAuthTries a výchozí hodnota je skutečně nízká. Obzvláště, pokud jsou také zapnuté další formy autentizace (gssapi apod., což v defaultu většinou jsou), tak se pár pokusů vyplýtvá, takže stačí víc klíčů v agentu a už je problém se připojit.

Osobně nastavuji větší počet pokusů (rozumně) a současně povoluji pouze metodu publickey (žádné passwordy, keyboard interactive ani SSO nechci).

Já používám jeden klíč maximálně na několik spolu souvisejících serverů. (A pravděpodobnost jejich napadení je navíc typicky poněkud korelovaná.) Ale dělám to jinak. V Qubesu si na každou aktivitu založím speciální virtuální stroj, abych od sebe jednotlivé aktivity izoloval. To, že pak používám různé klíče na různé servery (nebo malé skupiny serverů), je pak jen logickým důsledkem (ani ne primárním cílem).

Založit a následně spravovat (aktualizovat) VM je v Qubesu celkem jednoduché. Když aktualizuju šablonu, aktualizují se z ní odvozené virtuální stroje.

Tudiz ziskani vaseho privatniho klice mu jiz v nicem nepomuze - samozrejme za predpokladu, ze privatni klic neni sdileny mezi servery.
Což je právě princip té chyby. Že záškodnický server může od klienta získat klíč. Takže když se hlásím na víc serverů (samozřejmě stejným klíčem, proto se klíče používají), a jeden z nich z klienta vymámí privátní klíč, může se majitel toho serveru mým jménem přihlásit na ty ostatní servery.

BTW - prime prihlasovani na roota (byt s klicem) je vhodne mit zakazano vsude.
Ne, ve spoustě případů je to zbytečné nebo dokonce kontraproduktivní.

nepovazuji za rozumne pouzivat jeden klic pro vic serveru
To je váš problém.

nerikam, ze je to vzdy a za kazde okolnosti spatne
Neříkáte vůbec nic o tom, že je to špatné. Říkáte jen, že vy to nepovažujete za rozumné, důvod jste neuvedl ani jediný.

Není. Pokud někdo poskytne svůj privátní klíč kdejaké aplikaci, je chyba v tom poskytnutí privátního klíče. A řešením není používat spoustu klíčů, ale poskytnout privátní klíč jediné důvěryhodné aplikaci – v tomto případě SSH agentu. Stejný případ byl Heartbleed, a dokonce ani to nestačilo, aby SSL servery začaly držet privátní klíče v odděleném procesu s minimem funkcionality. V případě SSH je to pro uživatele mnohem jednodušší, SSH agent dávno existuje, stačí ho začít používat.

Na jednu stranu je pravda, že nemá smysl ad hoc vymýšlet opatření podle již opravených zranitelností ve stylu „Je dobře používat X, protože tím předcházím/zmírňuju zneužití nedávno objevené zranitelnosti Y.“.

Na druhou stranu ale myslím, že SSH agent může mít smysl: Když útočník získá read-only přístup k paměti procesu SSH, nedostane se ke klíči. To může IMHO nastat i v budoucnu.

(Šlo by to dovést ještě dál a mít klíč v jiném virtuálním stroji. Tím se omezí zneužitelnost útoků jako directory traversal a může se snížit praktický dopad kompletního ownu stroje. U Qubesu se o tom již diskutovalo a není to nic až tak nepředstavitelného – něco podobného je implementováno pro GPG.)

Omylem zapnutý agent forwarding – teoreticky ano, ale IMHO to není až tak pravděpodobné. Agent forwarding je sama o sobě riskantní věc (vhodná leda při specifickém threat modelu atd.). Naproti tomu problém s nevhodným čtením paměti se může objevit ledaskde.

Oprava spočívala v zákazu té přechytřelé optimalizace, nebo ve zrušení té fce roaming?

Podle tohoto:

http://www.openssh.com/txt/release-7.1p2

Vypnuli tu fci. Z kódu se v tomto patchi neodstraňuje, jen se nevolá.

Github-like služby, kdovíjaké stroje ve škole...

Uff. Neškodilo by dodržovat nějaké zásady hygieny. SSH považuju za oboustranně důvěryhodné spojení mezi serverem a klientem. Klient se vždy připojuje na jasně definovanou skupinu serverů, které si ověřuje (alespoň tedy u mě, server, který není v .ssh/config jako by neexistoval). Péro taky nestrkáš do každé díry...

Pokud mě nějaký zákazník požádá o připojení na podezřelý vyownovaný server, tak rozhodně nevytáhnu pracovního klienta a nezačnu se tam připojovat (pokud se tam tedy vůbec chci připojit). Chyba nechyba. Prostě si udělám virtuálku, nebo další účet nebo něco. Stejně se to bude hodit pro další podezřelé akce na daném serveru (typu: analyzujte podezřelý skript apod.).

Asi má smysl mít několik klíčů, zvláštní pro tak nějak „logickou instituci“, stroje, které nějak patří k sobě.

Asi tak. Určitě nikdo po nikom nechce klíč per stroj. To je kravina. Ale to současně neznamená mít jeden klíč a jednoho klienta na všechno. Už jenom z důvodu výměny klíče při jeho kompromitaci. Vyměnit klíč pro 7 serverů je jednodušší, než ho vyměnit na stovkách. Stejně tak je jednodušší ověřit, zda ten klíč stihl někdo zneužít.

Stejně si klíče lidi nemění. Na kdejakém usmrkaném webu se 2048b RSA mění každý rok, nebo dokonce každé 3 měsíce, ale stejný 2048b ssh klíč pro přístup na stejný server mají třeba 5 let starý. I toto je potřeba obnovovat.

again, nenapadlo by mě mít dvacet virtuálů jenom kvůli SSH

No já to tak dělám k vůli ochraně serverů. Pokud se ten klient kompromituje, třeba nějaký šprímař vytvoří alias ssh=ssh "rm -rf -no-preserv-root /" nebo něco takového, tak pokud se připojím na nějaký testovací server, který se před minutou naklonoval, tak mě to sice znervózní, ale škody jsou nulové. Pokud se stejným klientem připojím na důležitý server, tak jsou škody přece jen větší (odstávka, obnova ze zálohy apod.).

Ani mě by nikdy nenapadlo, že zrovna v openssh bude chyba umožňující vytáhnout klíče klienta (a to přes funkci, která tam ani nemá být) - nehledě na to jak obtížené je její zneužití. Ale právě proto, že mě to nenapadlo a nenapadá mě hromada jiných věcí, snažím se jít cestou předběžné opatrnosti.

Co budeme dělat s

CVE-2015-3456

The Floppy Disk Controller (FDC) in QEMU, as used in Xen 4.5.x and earlier and KVM, allows local guest users to cause a denial of service (out-of-bounds write and guest crash) or possibly execute arbitrary code via the (1) FD_CMD_READ_ID, (2) FD_CMD_DRIVE_SPE­CIFICATION_COM­MAND, or other unspecified commands, aka VENOM.

Nevím, ale tuhle jsem se ptal našeho experta na vmware, proč je ve virtuálkách definovaná FDD a další zbytečná zařízení jako IDE controler (když se používá paravirtualizovaný disk, nebo alespoň scsi) atd. Já ve virtualboxu pokaždé vypínám i zvukovku apod. ve výchozím stavu zapnutá zařízení. V KVM jsem floppy nikdy nedefinoval. Opět ne proto, že bych předpokládal, že je v tom chyba, ale prostě proto, že v tom virtálu zvuk provozovat nehodlám a floppy image žádný ani nemám.

Pokud se šprýmař dostane tak daleko, že může dělat aliasy na ssh klienta, asi bude moct dělat i mnohem horší věci a klíče ti ukradne všechny.

Tak jistě. Proto je potřeba nepoužívat jeden klíč a nemít je na jednom místě.

Mimochodem, jak moc jsou ty cve co posíláš reálně zneužitelné? Bez ironie.

Třeba ten bug v openssh klientovi zase tak moc použitelný není.

> Co budeme dělat s CVE-2015-3456, CVE-2015-5154 a CVE-2015-7835?

V kontextu SSH trosku red herring, v sirsim kontextu ta otazka ale ma smysl.

CVE-2015-3456 a CVE-2015-5154

Sandboxovat. Qubes predpoklada, ze QEMU je derave jak cednik a spousti ho v tzv. stubdomain. Kdyz pak nejaky HVM (tj. plne virtualizovany stroj) napadne svoji stubdomain (jakysi minimalisticky virtualni stroj o par desitkach MiB RAM), neziska tim zadna nova privilegia. Stubdomain tyto utoky uz nemuze zneuzit, protoze je to PV (paravirtualizovany stroj - nikdo mu neemuluje SATA apod.). A, pokud se nemylim, stubdomain lze takto infikovat nejvyse do restartu, pak by se mela spustit cista nova stubdomain.

Xen obecne nemusi pouzivat stubdomains, pak QEMU bezi v dom0 (privilegovana domena) a to je pak jiny hukot. I tak je ale precondition pro zneuziti chyby mit pristup v HVM, coz muze omezit dopad.

KVM se mimochodem pry tez snazi sandboxovat QEMU, ale jen jinym uid, takze je tu vetsi attack surface. Navic obecne lokalni uzivatel muze zkouset nejake nekalosti jako hledani citlivych dat v /proc.

CVE-2015-7835

Toto je uz ponekud vetsi prusvih, nastesti v historii Xenu celkem vzacny. Tyka se sice jen PV, ale pokud zna utocnik vhodnou diru v QEMU (jako dve vyse zminene), ma z HVM pristup k napadenemu stubdomain, ze ktereho muze utok provest. Musi je ale znat ve stejny okamzik.

Casem by mohl attack surface zmensit prechod z PV k PVH, ktere maji jednodussi spravu pameti. Dokud teda nebude dira v CPU…

KVM je AFAIK backend, zatímco libvirt je frontend pro více backendů (vč. Xenu).

OK, možná /proc si nepřečte, ale i tak bych víc věřil (z hlediska local privilege escalation) bezpečnosti paravirtualizace než Linuxového kernelu. Zvlášť když tomu prvnímu věřím tak jako tak, ale tomu druhému (z hlediska local privilege escalation) nemusím.

OK, pro KVM by asi šlo taky implementovat stubdomains bez zásahu do KVM samotného, jen jsem to nikde neviděl.

> Paravirtualizaci věříte víc než linuxovému jádru? Kde myslíte, že ta paravirtualizace běží?

1. V případě Xenu beží paravirtualizace na bare metalu a Linuxový (nebo jiný) kernel až pod Xenem.
2. I kdyby paravirtualizace běžela pod kernelem, není to podstatný argument. Bavím se o důvěře z hlediska local privilege escalation (získání roota v kernelu nebo VM escape v hypervizoru). V případě stubdomains útočníkovi totiž nepomůže zranitelnost v kernelu v jiné VM, ke které se nedostane.

Nebo ještě jinak: Běží mi VM pod hypervizorem. K tomuto VM potřebuju spustit QEMU. Předpokládám, že QEMU bude děravé a útočníkovi se podaří spustit vlastní kód v QEMU. Co bude lepší:

a. QEMU bude omezené tím stejným (nebo dost podobným) sandboxem jako ten útočící virtuální stroj. Útočník tak získá (aspoň z velké části) jen to, co už měl.
b. QEMU bude omezené Linuxovým kernelem, tedy jiným sandboxovacím mechanismem. Útočník si tedy může vybrat, jestli bude útočit na hypervizor, nebo na Linuxový kernel, podle toho, co mu přijde jednodušší.

Xen jakožto samotný hypervizor je fakticky mikrokernel s minimalistickým API oproti monolitickému Linuxovému kernelu s bohatým API. Co bude bezpečnější?

Pro Xen sice existuje dost CVEček, otázkou ale je, jak moc jsou při dobrém nastavení závažná. Něco je pouhý DoS, něco jsou zranitelnosti QEMU (jak jsem psal, se stubdomains jsou bez další zranitelnosti v Xenu nepoužitelné), atd. Realistická úplná kompromitace celého systému jsou za historii Xenu AFAIK celkem dvě CVEčka.

Podle toho dokumentu https://www.qualys.com/2016/01/14/cve-2016-0777-cve-2016-0778/openssh-cve-2016-0777-cve-2016-0778.txt

je problém v bufferech při použití fopen, fgets apod. ze standardní céčkovské knihovny.

1. If a private SSH key is loaded from disk into memory by fopen() (or
fdopen()), fgets(), and fclose(), a partial or complete copy of this
private key may remain uncleansed in memory. Indeed, these functions
manage their own internal buffers, and whether these buffers are
cleansed or not depends on the OpenSSH client's libc (stdio)
implementation, but not on OpenSSH itself.

Tedy, jestli jsem to pochopil správně, ten problém je v tom, že klient načte klíče pomocí standardní knihovny, která si soubor sama bufferuje.

Proto tedy unikne ten zašifrovaný klíč, protože to uniká přímo z funkce načítající ten soubor.

Ale jinak bylo by vhodné, kdyby se na ten dokument podíval nějaký Céčkař (třeba ty?), zajímala by mě podrobnější analýza vzniku těchto chyb (evidentně je tady ve hře optimalizující kompilátor, chování standardní knihovny, programátorské opomenutí apod.). Mohl by to být pěkný článek.

Aha, už to vidím. Klient vydá jakákoli data z nově alokovaného bufferu, který není nulovaný. To už je podle mě samo o sobě špatně, paměť de facto poskytovaná po síti by měla být podle mě nulovaná při alokaci. Naštěstí kód OpenSSH nuluje paměť s klíči při uvolnění, takže se struktury obsahující klíče takto nenasdílejí. Jenže...

1) Problém nastává v glibc funkcích implementujících ANSI souborové API, které samostatně bufferuje data při čtení ze souborů a nezajišťuje vymazání dat při uvolnění bufferů.

2) Jiný problém nastává při volání realloc(), které zanechává data v původní lokaci.

3) Ještě jiný problém nastává při vynulování uvolňovaných dat, jestliže se kvůli optimalizacím vynulování neprovede.

Ale popravdě jenom u prvním problému je mi jasné, že se týká pouze klíčů načítaných přímo ze souboru. Navíc by stačilo ANSI funkce vůbec nepoužívat ve prospěch POSIX fukcí. Tak jako tak se chovají divně. U zbylých dvou je potřeba znát rozhraní SSH agenta, takže tam jsem tak trochu ze hry.

Nicméně pro všechny tyto problémy je společné to, že narušují předpoklad, že uvolněná paměť je čistá, tedy neobsahuje žádná citlivá data. Jenže s takovým předpokladem prostě nejde počítat. Takže se bavíme pouze o následcích, ale chyba je skutečně v tom, že rozhraní vůči ssh serveru umožňuje číst neinicializovanou paměť, která z principu může obsahovat citlivá data.

Nejsem expert na hardening, takže k mírnění následků (když už dojde k leakování neinicializovaného bufferu po síti) se nebudu nějak víc vyjadřovat.

Obávám se, že se tenhle komentář dost míjí s naší diskuzí. Klient i agent běží na lokálním stroji a vzdálený stroj do nich nemá co kecat nad rámec protokolu. Agent forwarding pokud vím Jenda vůbec nezmiňoval.

Aha, zmiňoval, ale v samostatném druhém odstavci, kde ale vysvětluje, proč je to problém..

„Protože SSH agent je samostatný proces, a u této chyby lze číst pouze paměť SSH klienta (resp. prostě procesu, ve kterém se projevila).“

To ano, ale to jsi v zásadě jen přeformuloval moji otázku.

Takže je veškerá práce s klíčem delegována na agenta? Pak to dává smysl.