A falha do sistema OpenSSH foi divulgada por um investigador que dá pelo nome de KingCope e foi publicada num blogue. Com apenas uma linha de código, os hackers podem tentar milhares de passwords para acederem a servidores, numa janela temporal de dois minutos. O comando que KingCope publicou permite ao hacker tentar colocar a password até dez mil vezes.
A falha afeta as versões mais recentes do OpenSSH e também uma que foi lançada em 2007, como parte do sistema operativo FreeBSD, noticia o ArsTechnica.
A vulnerabilidade tem o potencial de criar alguns problemas sérios, uma vez que as tentativas de brute-force para aceder a servidores são comuns e se estas máquinas com OpenSSH apresentarem esta falha, tornam-se alvos preferenciais.
«É um daqueles bugs que não se encontram em servidores bem configurados, mas os mal configurados até já estariam em risco de ataques de brute-force e agora estão expostos a um risco maior», disse o DTO da Duo Security, John Oberheide.
Os servidores bem configurados já deviam anular as tentativas de força bruta onde os hackers tentam adivinhar a password milhares de vezes até conseguirem acesso. As precauções neste caso passam por usar uma chave criptográfica de 2048 bits, proteger-se com uma palavra chave forte e limitar o uso dos servidores.
