'n Groep navorsers van die Ruhr-universiteit in Bochum (Duitsland) het 'n nuwe MITM-aanvalstegniek op SSH - Terrapin, wat 'n kwesbaarheid (CVE-2023-48795) in die protokol ontgin, aangebied. 'n Aanvaller wat in staat is om 'n MITM-aanval te organiseer, het die vermoë om, tydens die verbindingsonderhandelingsproses, die stuur van 'n boodskap te blokkeer deur protokoluitbreidings op te stel om die verbindingsekuriteitsvlak te verminder. 'n Prototipe van die aanvalsgereedskapstel is op GitHub gepubliseer.
In die konteks van OpenSSH laat die kwesbaarheid jou byvoorbeeld toe om die verbinding terug te keer om minder veilige verifikasiealgoritmes te gebruik en beskerming teen sykanaalaanvalle wat insette herskep, te deaktiveer deur die vertragings tussen toetsaanslagen op die sleutelbord te ontleed. In die Python-biblioteek AsyncSSH, in kombinasie met 'n kwesbaarheid (CVE-2023-46446) in die implementering van die interne staatsmasjien, stel die Terrapin-aanval ons in staat om onsself in 'n SSH-sessie in te wig.
Die kwesbaarheid raak alle SSH-implementerings wat ChaCha20-Poly1305 of CBC-modus-syfers ondersteun in kombinasie met ETM (Enkripteer-dan-MAC)-modus. Soortgelyke vermoëns is byvoorbeeld al meer as 10 jaar in OpenSSH beskikbaar. Die kwesbaarheid is reggestel in vandag se vrystelling van OpenSSH 9.6, sowel as opdaterings aan PuTTY 0.80, libssh 0.10.6/0.9.8 en AsyncSSH 2.14.2. In Dropbear SSH is die oplossing reeds by die kode gevoeg, maar 'n nuwe vrystelling is nog nie gegenereer nie.
Die kwesbaarheid word veroorsaak deur die feit dat 'n aanvaller wat die verbindingsverkeer beheer (byvoorbeeld die eienaar van 'n kwaadwillige draadlose punt) die pakkievolgordenommers tydens die verbindingsonderhandelingsproses kan aanpas en die stille verwydering van 'n arbitrêre aantal SSH-diensboodskappe kan bewerkstellig gestuur deur die kliënt of bediener. 'n Aanvaller kan onder andere SSH_MSG_EXT_INFO-boodskappe uitvee wat gebruik word om die protokoluitbreidings wat gebruik word, op te stel. Om te verhoed dat die ander party 'n pakkieverlies as gevolg van 'n gaping in die volgordenommers opspoor, begin die aanvaller om 'n dompakkie met dieselfde volgordenommer as die afgeleë pakkie te stuur om die volgordenommer te verskuif. Die dummy pakkie bevat 'n boodskap met die SSH_MSG_IGNORE vlag, wat tydens verwerking geïgnoreer word.
Die aanval kan nie uitgevoer word met behulp van stroomsyfers en CTR nie, aangesien die integriteitskending op die toepassingsvlak opgespoor sal word. In die praktyk is slegs die ChaCha20-Poly1305-syfer vatbaar vir aanval ([e-pos beskerm]), waarin die toestand slegs deur boodskapvolgnommers nagespoor word, en 'n kombinasie van die Encrypt-Then-MAC-modus (*[e-pos beskerm]) en CBC-syfers.
In OpenSSH 9.6 en ander implementerings word 'n uitbreiding van die "streng KEX"-protokol geïmplementeer om die aanval te blokkeer, wat outomaties geaktiveer word as daar ondersteuning aan die bediener- en kliëntkant is. Die uitbreiding beëindig die verbinding by ontvangs van enige abnormale of onnodige boodskappe (byvoorbeeld met die SSH_MSG_IGNORE- of SSH2_MSG_DEBUG-vlag) wat tydens die verbindingsonderhandelingsproses ontvang is, en stel ook die MAC (Message Authentication Code)-teller terug na die voltooiing van elke sleuteluitruiling.
Bron: opennet.ru