Usa ka grupo sa mga tigdukiduki gikan sa Ruhr University sa Bochum (Germany) nagpresentar sa usa ka bag-ong pamaagi sa pag-atake sa MITM sa SSH - Terrapin, nga nagpahimulos sa usa ka kahuyang (CVE-2023-48795) sa protocol. Ang usa ka tig-atake nga makahimo sa pag-organisar sa usa ka pag-atake sa MITM adunay katakus, sa panahon sa proseso sa negosasyon sa koneksyon, nga babagan ang pagpadala sa usa ka mensahe pinaagi sa pag-configure sa mga extension sa protocol aron makunhuran ang lebel sa seguridad sa koneksyon. Usa ka prototype sa toolkit sa pag-atake ang gipatik sa GitHub.
Sa konteksto sa OpenSSH, ang pagkahuyang, pananglitan, nagtugot kanimo sa pag-rollback sa koneksyon aron magamit ang dili kaayo luwas nga mga algorithm sa pag-authenticate ug pag-disable sa proteksyon batok sa mga pag-atake sa side-channel nga nagmugna pag-usab sa input pinaagi sa pag-analisar sa mga paglangan tali sa mga keystroke sa keyboard. Sa librarya sa Python nga AsyncSSH, inubanan sa usa ka kahuyang (CVE-2023-46446) sa pagpatuman sa internal nga makina sa estado, ang pag-atake sa Terrapin nagtugot kanato sa pag-wedge sa atong kaugalingon sa usa ka sesyon sa SSH.
Ang pagkahuyang makaapekto sa tanan nga mga pagpatuman sa SSH nga nagsuporta sa ChaCha20-Poly1305 o CBC mode ciphers inubanan sa ETM (Encrypt-then-MAC) mode. Pananglitan, ang susamang mga kapabilidad anaa na sa OpenSSH sulod sa kapin sa 10 ka tuig. Ang pagkahuyang naayo sa karon nga pagpagawas sa OpenSSH 9.6, ingon man mga update sa PuTTY 0.80, libssh 0.10.6/0.9.8 ug AsyncSSH 2.14.2. Sa Dropbear SSH, ang pag-ayo gidugang na sa code, apan ang usa ka bag-ong pagpagawas wala pa nahimo.
Ang pagkahuyang tungod sa kamatuoran nga ang usa ka tig-atake nga nagkontrol sa trapiko sa koneksyon (pananglitan, ang tag-iya sa usa ka malisyoso nga wireless point) mahimong mag-adjust sa mga numero sa han-ay sa packet sa panahon sa proseso sa negosasyon sa koneksyon ug makab-ot ang hilom nga pagtangtang sa usa ka arbitraryong gidaghanon sa mga mensahe sa serbisyo sa SSH gipadala sa kliyente o server. Lakip sa ubang mga butang, ang usa ka tig-atake mahimong magtangtang sa mga mensahe sa SSH_MSG_EXT_INFO nga gigamit aron ma-configure ang mga extension sa protocol nga gigamit. Aron mapugngan ang pikas nga partido nga makit-an ang pagkawala sa packet tungod sa usa ka gintang sa mga numero sa han-ay, ang tig-atake magsugod sa pagpadala sa usa ka dummy packet nga adunay parehas nga sequence number sa hilit nga pakete aron ibalhin ang sequence number. Ang dummy packet adunay usa ka mensahe nga adunay bandila nga SSH_MSG_IGNORE, nga gibalewala sa pagproseso.
Ang pag-atake dili mahimo gamit ang stream ciphers ug CTR, tungod kay ang paglapas sa integridad makit-an sa lebel sa aplikasyon. Sa praktis, ang ChaCha20-Poly1305 cipher lamang ang daling atakehon ([protektado sa email]), diin ang estado gisubay lamang sa mga numero sa han-ay sa mensahe, ug kombinasyon gikan sa Encrypt-Then-MAC mode (*[protektado sa email]) ug CBC ciphers.
Sa OpenSSH 9.6 ug uban pang mga pagpatuman, ang usa ka extension sa "estrikto nga KEX" nga protocol gipatuman aron babagan ang pag-atake, nga awtomatiko nga mahimo kung adunay suporta sa server ug kliyente nga bahin. Gitapos sa extension ang koneksyon sa pagkadawat sa bisan unsang abnormal o dili kinahanglan nga mga mensahe (pananglitan, uban ang SSH_MSG_IGNORE o SSH2_MSG_DEBUG nga bandila) nga nadawat sa panahon sa proseso sa negosasyon sa koneksyon, ug usab gi-reset ang MAC (Message Authentication Code) counter pagkahuman sa pagkompleto sa matag yawe nga pagbinayloay.
Source: opennet.ru