Nei giorni scorsi il team di Wordfence – noto plugin di sicurezza per i siti basati sulla piattaforma WordPress – ha pubblicato un comunicato in cui avvisa la propria comunità di utenti di un improvviso aumento di scansioni , aventi il fine di rintracciare chiavi SSH da utilizzare per ottenere il controllo dei siti Internet.
Il team di Wordfence sostiene che l’improvviso aumento di questo tipo di attività possa essere dovuto al fatto che gli attaccanti stiano riuscendo nel loro intento di rubare chiavi SSH valide , attraverso la scoperta di un bug di WordPress oppure semplicemente approfittando delle eventuali imperizie di una parte degli utilizzatori del CMS.
Di conseguenza, gli esperti di sicurezza consigliano alla comunità WordPress di verificare che le proprie chiavi SSH non siano state accidentalmente pubblicate online, ad esempio tramite un commit accidentale effettuato attraverso software di tipo SCM come Git, SVN o simili. Un’ulteriore raccomandazione è quella di proteggere con password le chiavi private , affinché siano inutilizzabili per un attaccante che riesca ad entrarne in possesso (a condizione che la password sia sufficientemente robusta).
Proprio in questi giorni, sono usciti i risultati di uno studio riguardante l’utilizzo e la diffusione di chiavi SSH, pubblicato dalla società di sicurezza Venafi; i dati provengono da oltre quattrocento professionisti che lavorano in diversi campi dell’IT.
Dallo studio si evince che oltre il 60 per cento degli utenti intervistati non cambia periodicamente le proprie chiavi ; inoltre, nella maggior parte dei casi non vengono intraprese ulteriori importanti misure di sicurezza: ad esempio, l’uso delle chiavi non viene limitato ad una determinata località o indirizzo IP, il port forwarding over SSH non viene impedito e non viene tenuto alcun inventario delle chiavi create e utilizzate dagli utenti.
Elia Tufarolo