Systeembeheerders bij universiteiten en bedrijven melden dat er afgelopen week opeens login-pogingen werden gedaan vanaf honderden of duizenden verschillende IP-adressen. Normaal blijft het aantal pogingen beperkt tot een handvol adressen, zo meldt SecurityFocus.

Ook uit een grafiek op DenyHosts.org (een site die is gewijd aan SSH-aanvallen) blijkt dat de aanvallen het afgelopen weekeinde plotseling sterk toenamen. "Dit is een goed moment om eens op je lokale netwerk te onderzoeken welke servers SSH open hebben staan", schrijft Scott Fendley op de site van het Internet Storm Center.

Volgens Fendley maken veel aanvallers gebruik van 'trage' aanvallen, waarbij er niet teveel gelijktijdige pogingen worden gedaan vanaf één IP-adres. Op die manier proberen ze detectie van de aanvallen te voorkomen. Dat kunnen de aanvallers onder meer doen door gebruik te maken van een botnet (zo is het mogelijk vanaf verschillende adressen login-pogingen te doen).

De recente aanvallen houden vermoedelijk verband met de OpenSSL-kwetsbaarheid in in Debian Linux. Door de bug werden de 'random' gegenereerde cryptografische sleutels (waaronder die voor SSH, SSL-certificaten, OpenVPN) makkelijker te voorspellen. Bron: Techworld