Falha de RNG Fraco em Crypt-SaltedHash Compromete Segurança de Senhas
Uma vulnerabilidade crítica em Crypt-SaltedHash revela que a geração de salt depende de um gerador de números pseudo-aleatórios criptograficamente fraco, permitindo que atacantes prevejam salts e comprometam as proteções de senha. Ubuntu lançou atualizações de segurança para resolver essa falha em sistemas afetados.
TL;DR
- Crypt-SaltedHash usa RNG fraco para geração de salt, permitindo ataques de previsão de salt
- Salts previsíveis reduzem significativamente a eficácia das defesas de hash de senha
- Patch Ubuntu USN-8418-1 resolve a vulnerabilidade em distribuições suportadas
- Organizações devem atualizar sistemas afetados imediatamente para restaurar integridade criptográfica
Uma fraqueza criptográfica significativa foi identificada em Crypt-SaltedHash, uma biblioteca comumente usada para hash e armazenamento de senhas. A vulnerabilidade decorre do uso de um gerador de números pseudo-aleatórios (PRNG) criptograficamente fraco ao gerar salts—valores aleatórios que devem ser imprevisíveis e únicos para cada hash de senha.
Essa falha cria uma superfície de ataque séria: se um atacante conseguir prever os salts usados durante o hash de senha, ele pode pré-computar valores de hash de forma mais eficiente, acelerando dramaticamente ataques de força bruta e ataques de tabela arco-íris. O modelo de segurança de hash com salt depende inteiramente da imprevisibilidade do salt, tornando isso um compromisso fundamental do mecanismo de defesa.
Ubuntu lançou o aviso de segurança USN-8418-1 para resolver esse problema. Organizações que executam sistemas afetados devem priorizar a aplicação de patches para restaurar as garantias criptográficas que o hash com salt foi projetado para fornecer.
Como a Vulnerabilidade Enfraquece as Proteções Criptográficas
- Salts devem ser imprevisíveis; a geração fraca de RNG os torna adivinháveis por atacantes
- Salts previsíveis permitem pré-computação eficiente de tabelas de hash, negando o benefício principal do salt
- Atacantes podem reduzir o custo computacional de quebra de múltiplas senhas simultaneamente
- A vulnerabilidade afeta qualquer aplicação ou sistema que dependa de Crypt-SaltedHash para armazenamento de credenciais
Remediação e Melhores Práticas
- Aplique o patch de segurança Ubuntu USN-8418-1 imediatamente a todos os sistemas e distribuições afetados
- Verifique se as bibliotecas de hash de senha usam fontes aleatórias criptograficamente seguras (por exemplo, /dev/urandom, os.urandom)
- Considere fazer re-hash de senhas armazenadas com implementações corrigidas após aplicar o patch
- Audite aplicações dependentes para confirmar que não estão armazenando em cache ou dependendo de salts fracos gerados anteriormente
- Monitore padrões de acesso não autorizado que possam indicar exploração dessa fraqueza
Fontes
Fontes
Atualizações de segurança por e-mail
Um e-mail resumo quando publicarmos novos artigos de segurança (TL;DR e links para ler mais). Cancele a inscrição a qualquer momento no rodapé da mensagem. Veja nossa Política de Privacidade.