Ryhmä tutkijoita Ruhrin yliopistosta Bochumista (Saksa) esitteli uuden MITM-hyökkäystekniikan SSH:lle - Terrapin, joka hyödyntää protokollan haavoittuvuutta (CVE-2023-48795). Hyökkääjä, joka pystyy järjestämään MITM-hyökkäyksen, pystyy yhteyden neuvotteluprosessin aikana estämään viestin lähettämisen määrittämällä protokollalaajennuksia alentamaan yhteyden suojaustasoa. Hyökkäystyökalupakin prototyyppi on julkaistu GitHubissa.
OpenSSH:n yhteydessä haavoittuvuus mahdollistaa esimerkiksi yhteyden palauttamisen, jotta voit käyttää vähemmän turvallisia todennusalgoritmeja ja poistaa suojauksen sivukanavahyökkäyksiltä, jotka luovat syötteitä uudelleen analysoimalla näppäimistön näppäinpainallusten välisiä viiveitä. Python-kirjastossa AsyncSSH yhdessä haavoittuvuuden (CVE-2023-46446) kanssa sisäisen tilakoneen toteutuksessa Terrapin-hyökkäys antaa meille mahdollisuuden kiilata itsemme SSH-istuntoon.
Haavoittuvuus vaikuttaa kaikkiin SSH-toteutuksiin, jotka tukevat ChaCha20-Poly1305- tai CBC-tilasalauksia yhdessä ETM-tilan (Encrypt-hen-MAC) kanssa. Esimerkiksi OpenSSH:ssa vastaavat ominaisuudet ovat olleet saatavilla yli 10 vuoden ajan. Haavoittuvuus on korjattu tänään julkaistussa OpenSSH 9.6:ssa sekä päivityksissä PuTTY 0.80:een, libssh 0.10.6/0.9.8:aan ja AsyncSSH 2.14.2:een. Dropbear SSH:ssa korjaus on jo lisätty koodiin, mutta uutta julkaisua ei ole vielä luotu.
Haavoittuvuus johtuu siitä, että yhteysliikennettä ohjaava hyökkääjä (esimerkiksi haitallisen langattoman pisteen omistaja) voi muuttaa pakettien järjestysnumeroita yhteysneuvotteluprosessin aikana ja saada aikaan mielivaltaisen määrän SSH-palvelusanomien äänettömän poistamisen. asiakkaan tai palvelimen lähettämä. Hyökkääjä voi muun muassa poistaa SSH_MSG_EXT_INFO-viestejä, joita käytetään käytettyjen protokollalaajennusten määrittämiseen. Estäkseen toista osapuolta havaitsemasta pakettien katoamista järjestysnumeroiden aukon vuoksi, hyökkääjä aloittaa valepaketin lähettämisen samalla järjestysnumerolla kuin etäpaketti muuttaakseen järjestysnumeroa. Valepaketti sisältää SSH_MSG_IGNORE-lipun sisältävän viestin, joka ohitetaan käsittelyn aikana.
Hyökkäystä ei voi suorittaa tietovirtasalauksilla ja napsautussuhteella, koska eheysrikkomus havaitaan sovellustasolla. Käytännössä vain ChaCha20-Poly1305 salaus on alttiina hyökkäyksille ([sähköposti suojattu]), jossa tilaa seurataan vain viestien järjestysnumeroilla ja yhdistelmällä Encrypt-Then-MAC -tilasta (*[sähköposti suojattu]) ja CBC-salaukset.
OpenSSH 9.6:ssa ja muissa toteutuksissa "tiukka KEX" -protokollan laajennus on toteutettu estämään hyökkäys, joka otetaan automaattisesti käyttöön, jos palvelin- ja asiakaspuolella on tuki. Laajennus katkaisee yhteyden vastaanotettuaan epänormaalit tai tarpeettomat viestit (esimerkiksi lipulla SSH_MSG_IGNORE tai SSH2_MSG_DEBUG), jotka on vastaanotettu yhteysneuvotteluprosessin aikana, ja nollaa myös MAC-laskurin (Message Authentication Code) jokaisen avaimenvaihdon jälkeen.
Lähde: opennet.ru