In un recente advisory il team di sviluppo di Ubuntu ha avvisato gli utenti dell’esistenza, nelle distribuzioni Linux basate su Debian , di una seria vulnerabilità nei software utilizzati per la creazione delle chiavi crittografiche SSL ed SSH. La debolezza, a detta degli esperti, potrebbe consentire ad un cracker di indovinare le chiavi con appositi attacchi di forza bruta.
“Una vulnerabilità è stata scoperta nel generatore di numeri casuali usato da OpenSSL su sistemi Debian e Ubuntu”, si legge nell’advisory. “Come risultato di questa vulnerabilità, alcune chiavi cifrate sono molto più comuni di quanto dovrebbero essere. Un ipotetico aggressore può scoprire la chiave con un attacco di forza bruta e usando un livello minimo di conoscenza del sistema. Tutto questo affligge, in modo particolare, l’uso di chiavi cifrate in OpenSSH, Open VPN e SSL”.
Gli autori dell’avviso affermano che questa vulnerabilità è “estremamente seria”, e raccomandano a tutti gli utenti “di intervenire con urgenza per mettere in sicurezza il proprio sistema”.
La vulnerabilità sembra interessare soltanto i sistemi che, come Ubuntu, sono basati su Debian. Secondo quanto spiegato in questo post di geekinfosecurity.blogspot.com , l’errore sarebbe stato introdotto da “un solerte packager del gruppo Debian, che ha commentato delle righe di codice necessarie per la generazione casuale dei numeri di OpenSSL”.
Per correggere il problema è possibile procedere ad un aggiornamento del sistema o scaricare manualmente le patch dai link forniti qui . Dopo l’applicazione delle patch, agli amministratori di sistema viene suggerito di generare nuove chiavi crittografiche.
Una vulnerabilità apparentemente simile fu scoperta lo scorso novembre nel generatore di numeri pseudo-casuali di Windows.
Proprio negli scorsi giorni, nel blog dell’Internet Storm Center di SANS Institute è apparso un articolo che spiega come, negli ultimi tempi, gli attacchi di forza bruta contro le chiavi SSH siano cresciuti in modo preoccupante.