OpenSSH連續被踢爆兩個用戶名稱枚舉漏洞

開源的加密通訊專案OpenSSH在最近接連被踢爆兩個用戶名稱枚舉（Username Enumeration）漏洞，它們分別是CVE-2018-15473與CVE-2018-15919，雖然OpenSSH團隊已經修補了前一個漏洞，但他們認為這並不是什麼大不了的漏洞。

SSH為最市場上最受歡迎的遠端存取協定，可用來執行遠端登入及建立安全通道，而OpenSSH即為最普及的SSH應用軟體。用戶名稱枚舉漏洞將允許駭客輸入各種用戶名稱，從系統的回應來判斷用戶名稱的正確與否，接著再以暴力破解法找出相對應的密碼，以取得用戶憑證。

其中，CVE-2018-15473漏洞自1999年發表的OpenSSH版本就存在了，當駭客送出身分驗證請求時，若所使用的用戶名稱並不存在，OpenSSH伺服器即會回覆「驗證失敗」，反之，當確實有該用戶名稱時，OpenSSH伺服器就會直接關閉連線，這樣的差異將有利於駭客判斷於該伺服器上所註冊的有效用戶名稱。

由於OpenSSH廣泛被應用在許多雲端代管伺服器上，也讓資安社群擔心該漏洞將影響數十億的IoT裝置。

波蘭資安業者Securitum是在今年7月提報CVE-2018-15473，OpenSSH團隊則已於7月底修補，但相關細節一直到8月下旬才被披露。

Qualys則在本周公布了另一個OpenSSH用戶名稱枚舉漏洞CVE-2018-15919，它影響了2011年以來的OpenSSH版本，此一漏洞存在於auth2-gss.c元件中，且在Fedora、CentOS及Red Hat Enterprise Linux等平台的預設都啟用了該元件。

雖然這兩個漏洞都被分配了漏洞編號，但OpenSSH團隊認為它們並沒有那麼嚴重。OpenSSH開發者Damien Miller指出，相關漏洞充其量只能算是「神諭」（Oracle）漏洞，而非枚舉漏洞，因為它們並沒有能力枚舉或列出帳號名單，而只能用暴力破解法來猜測用戶名稱，再確認這些名稱是否存在於系統上，此外，在Unix生態體系中，只有極少數的系統會特意避免這樣的資訊揭露。

不過，Miller也說若他們知道相關漏洞的存在且修復成本不會太高時，仍會繼續修補這類的漏洞。