Преступники массово сканируют сайты в поисках закрытых SSH-ключей

Киберпреступники массово сканируют web-сайты под управлением WordPress в поисках директорий, содержащих закрытые SSH-ключи, с целью взломать их с помощью случайно скомпрометированных учетных данных.

Аутентификация по SSH может осуществляться как по классической модели (с использованием логина и пароля), так и с помощью ключей. Во втором случае администратор генерирует пару ключей (закрытый и открытый ключи). Закрытый ключ помещается на сервер, который нужно аутентифицировать. В свою очередь пользователь сохраняет его в локальном конфигурационном файле SSH.

17-18 октября эксперты американской ИБ-компании Wordfence зафиксировали неожиданный всплеск сканирований сайтов на предмет наличия папок с определенными названиями. Судя по названиям папок, тех, кто проводил сканирование, интересовали закрытые SSH-ключи. В частности, они искали директории с упоминанием "root," "ssh" или "id_rsa".

По словам основателя Wordfence Марка Мондера (Mark Maunder), это может свидетельствовать о том, что киберпреступники добились успехов в поисках закрытых ключей и усилили активность. Вероятно, существует уязвимость, или владельцы сайтов под управлением WordPress допускают операционную ошибку, из-за которой закрытые SSH-ключи становятся доступными третьим лицам.

Толчком к проведению сканирований мог послужить недавний отчет компании Venafi. Исследователи опросили 410 ИБ-экспертов и обнаружили повсеместное отсутствие адекватных мер по защите SSH. Как показал опрос, 61% респондентов не ограничивают и не следят за числом администраторов, управляющих SSH. Только 35% опрошенных применяют политики, запрещающие пользователям SSH конфигурировать свои ключи, оставляя организации в неведении о злоупотреблениях со стороны злоумышленников. Лишь 23% меняют ключи раз в квартал или чаще. 40% не меняют их совсем или делают это нерегулярно.

Источник