In SSH-Clients OpenSSH und PuTTY ( in PuTTY und in OpenSSH), was zu Informationslecks im Verbindungsaushandlungsalgorithmus führt. Die Sicherheitslücke ermöglicht es einem Angreifer, der den Client-Datenverkehr abfangen kann (z. B. wenn ein Benutzer eine Verbindung über einen vom Angreifer kontrollierten drahtlosen Zugangspunkt herstellt), einen Versuch zu erkennen, den Client zunächst mit dem Host zu verbinden, wenn der Client den Host-Schlüssel noch nicht zwischengespeichert hat.
Da der Angreifer weiß, dass der Client zum ersten Mal versucht, eine Verbindung herzustellen, und den Host-Schlüssel noch nicht auf seiner Seite hat, kann er die Verbindung über sich selbst (MITM) übertragen und dem Client seinen Host-Schlüssel geben, den der SSH-Client berücksichtigt der Schlüssel des Zielhosts sein, wenn dieser den Schlüsselfingerabdruck nicht überprüft. Somit kann ein Angreifer MITM organisieren, ohne den Verdacht des Benutzers zu erregen, und Sitzungen ignorieren, in denen auf der Clientseite bereits Hostschlüssel zwischengespeichert sind. Ein Ersetzungsversuch führt zu einer Warnung über die Änderung des Hostschlüssels. Der Angriff basiert auf der Unachtsamkeit von Benutzern, die den Fingerabdruck des Host-Schlüssels nicht manuell überprüfen, wenn sie sich zum ersten Mal verbinden. Wer Schlüsselfingerabdrücke überprüft, ist vor solchen Angriffen geschützt.
Als Zeichen zur Bestimmung des ersten Verbindungsversuchs wird eine Änderung in der Reihenfolge der Auflistung der unterstützten Host-Schlüsselalgorithmen verwendet. Wenn die erste Verbindung zustande kommt, übermittelt der Client eine Liste von Standardalgorithmen. Wenn sich der Hostschlüssel bereits im Cache befindet, wird der zugehörige Algorithmus an die erste Stelle gesetzt (die Algorithmen werden in der Reihenfolge ihrer Präferenz sortiert).
Das Problem tritt in den OpenSSH-Versionen 5.7 bis 8.3 und PuTTY 0.68 bis 0.73 auf. Problem in der Ausgabe durch Hinzufügen einer Option zum Deaktivieren der dynamischen Erstellung einer Liste von Hostschlüsselverarbeitungsalgorithmen zugunsten der Auflistung der Algorithmen in einer konstanten Reihenfolge.
Das OpenSSH-Projekt plant keine Änderung des Verhaltens des SSH-Clients, da, wenn Sie den Algorithmus des vorhandenen Schlüssels nicht von vornherein angeben, versucht wird, einen Algorithmus zu verwenden, der nicht dem zwischengespeicherten Schlüssel entspricht Es wird eine Warnung über einen unbekannten Schlüssel angezeigt. Diese. Es entsteht die Wahl – entweder Informationsverlust (OpenSSH und PuTTY) oder Warnungen vor einer Änderung des Schlüssels (Dropbear SSH), wenn der gespeicherte Schlüssel nicht dem ersten Algorithmus in der Standardliste entspricht.
Um die Sicherheit zu gewährleisten, bietet OpenSSH alternative Methoden zur Überprüfung des Hostschlüssels mithilfe von SSHFP-Einträgen in DNSSEC und Hostzertifikaten (PKI). Sie können die adaptive Auswahl von Hostschlüsselalgorithmen auch über die Option „HostKeyAlgorithms“ deaktivieren und die Option „UpdateHostKeys“ verwenden, um dem Client zu ermöglichen, nach der Authentifizierung zusätzliche Hostschlüssel zu erhalten.
Source: opennet.ru