Pengguna dengan kunci SSH yang lemah memiliki akses ke repositori GitHub untuk proyek populer

Sejumlah repositori kode sumber profil tinggi yang di-host di GitHub mungkin telah dimodifikasi menggunakan kunci otentikasi SSH yang lemah, seorang peneliti keamanan telah memperingatkan.

Repositori yang berpotensi rentan termasuk layanan streaming musik Spotify, perusahaan Internet Rusia Yandex, pemerintah Inggris dan kerangka kerja aplikasi Web Django.

Awal tahun ini, peneliti Ben Cox mengumpulkan kunci SSH (Secure Shell) publik pengguna dengan akses ke repositori yang dihosting GitHub dengan menggunakan salah satu dari fitur platform. Setelah analisis, ia menemukan bahwa kunci pribadi terkait dapat dengan mudah dipulihkan untuk banyak dari mereka.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Protokol SSH menggunakan kriptografi kunci publik, yang berarti bahwa mengautentikasi pengguna dan mengenkripsi koneksi mereka membutuhkan pasangan kunci pribadi-publik. Server yang dikonfigurasi untuk menerima koneksi SSH dari pengguna perlu mengetahui kunci publik masing-masing dan pengguna harus memiliki kunci privat yang sesuai.

Jika algoritme yang kuat dan ukuran kunci yang cukup besar digunakan, seharusnya tidak mungkin untuk memulihkan kunci pribadi dari kunci publik. Namun, bukan itu yang ditemukan Cox untuk sejumlah besar pengguna GitHub, beberapa di antaranya memiliki akses SSH ke beberapa proyek perangkat lunak yang besar dan populer.

Peneliti mengumpulkan 1.376.262 kunci SSH publik dari GitHub dan menetapkan bahwa 97,7 persen dari mereka menggunakan algoritma RSA. Untuk RSA, ukuran yang saat ini direkomendasikan adalah 2048 bit, sementara kekuatan kunci 1024-bit masih bisa diperdebatkan dan mereka sedang dalam proses tidak digunakan lagi.

Cox menetapkan bahwa 93,9 persen dari kunci SSH publik berbasis RSA yang dia temukan di GitHub memiliki 2048 bit, dan sekitar empat persen memiliki 1024 bit. Dia menemukan 2 kunci yang hanya memiliki 256 bit dan 7 yang memiliki 512 bit, yang akan mudah dipecahkan.

Namun, kunci berukuran kecil itu bukan masalah terbesar. Dia menemukan banyak kunci lain yang lemah karena bug dalam paket OpenSSL yang didistribusikan dengan Debian Linux yang diidentifikasi dan ditambal pada Mei 2008.

Bug diperkenalkan pada bulan September 2006 dan mempengaruhi sumber keacakan yang digunakan oleh nomor acak generator saat menghasilkan kunci. Karena cacat, kunci SSH dan SSL apa pun yang dibuat di Debian selama periode 20 bulan itu hanya memiliki 32.767 kemungkinan untuk setiap arsitektur CPU, ukuran kunci, dan jenis kunci.

Karena mudah bagi penyerang untuk mengeksploitasi situasi ini dan memecahkan ke dalam sistem menggunakan akun pengguna yang sah, pengembang Debian dan komunitas riset keamanan menyarankan semua orang yang mungkin terpengaruh pada saat itu untuk meregenerasi kunci mereka.

Namun, tampaknya banyak orang tidak mendengarkan dan kunci lemah tersebut masih digunakan hari ini, yang mana Cox temukan ketika dia membandingkan kunci yang dia kumpulkan dari GitHub ke daftar hitam kunci berdasarkan bug Debian.

"Bagian yang paling menakutkan dari ini adalah bahwa siapa pun bisa saja melewati semua kunci ini. hanya mencoba SSH ke GitHub untuk melihat banner yang diberikannya, ”kata Cox, Selasa dalam posting blog. “Akan aman untuk mengasumsikan bahwa karena penghalang masuk yang rendah untuk ini, pengguna yang memiliki kunci yang buruk di akun mereka harus diasumsikan dikompromikan dan apa pun yang memungkinkan entri kunci tersebut mungkin telah diserang oleh penyerang.”

Selain repositori mereka sendiri, beberapa pengguna dengan kunci lemah memiliki akses ke proyek pihak ketiga termasuk "repo publik Spotify, repo publik Yandex, perpustakaan crypto untuk Python, inti Python, Django, gov.uk repositori publik, Couchbase dan permata ruby ​​yang digunakan pada sejumlah besar sistem CI, ”menurut Cox.

Cox mengatakan bahwa GitHub diberitahu dan mencabut kunci yang terkena bug Debian pada awal Mei dan kunci berkualitas rendah lainnya pada awal Juni

"Jika Anda baru saja terlambat mendapat email tentang kunci Anda dicabut, ini karena saya, dan jika Anda punya, Anda harus benar-benar melewati dan memastikan bahwa tidak ada yang melakukan sesuatu yang buruk pada Anda, karena Anda memiliki membuka diri kepada orang-orang yang melakukan hal-hal yang sangat jahat kepada Anda untuk kemungkinan yang sangat lama, ”kata Cox di posting blognya.