SSH-asiakkaissa OpenSSH ja PuTTY
Tietäen, että asiakas yrittää muodostaa yhteyden ensimmäistä kertaa eikä hänellä vielä ole isäntäavainta puolellaan, hyökkääjä voi lähettää yhteyden itsensä kautta (MITM) ja antaa asiakkaalle isäntäavaimen, jonka SSH-asiakas harkitsee. olla kohdeisännän avain, jos se ei vahvista avaimen sormenjälkeä. Siten hyökkääjä voi järjestää MITM:n herättämättä käyttäjien epäilyksiä ja jättää huomiotta istunnot, joissa asiakaspuolella on jo välimuistissa isäntäavaimet, joiden vaihtamisyritys johtaa varoituksen isäntäavaimen muutoksesta. Hyökkäys perustuu niiden käyttäjien huolimattomuuteen, jotka eivät tarkista manuaalisesti isäntäavaimen sormenjälkeä muodostaessaan yhteyden ensimmäisen kerran. Ne, jotka tarkistavat avainten sormenjäljet, ovat suojattuja tällaisilta hyökkäyksiltä.
Ensimmäisen yhteysyrityksen määrittämisen merkkinä käytetään muutosta tuettujen isäntäavainalgoritmien luetteloinnissa. Jos ensimmäinen yhteys syntyy, asiakas lähettää luettelon oletusalgoritmeista, ja jos isäntäavain on jo välimuistissa, siihen liittyvä algoritmi asetetaan ensimmäiselle paikalle (algoritmit lajitellaan mieltymysjärjestyksessä).
Ongelma ilmenee OpenSSH-julkaisuissa 5.7 - 8.3 ja PuTTY 0.68 - 0.73. Ongelma
OpenSSH-projekti ei aio muuttaa SSH-asiakkaan käyttäytymistä, koska jos et alun perin määritä olemassa olevan avaimen algoritmia, yritetään käyttää algoritmia, joka ei vastaa välimuistissa olevaa avainta ja varoitus tuntemattomasta avaimesta tulee näkyviin. Nuo. syntyy valinta - joko tietovuoto (OpenSSH ja PuTTY) tai varoitukset avaimen vaihtamisesta (Dropbear SSH), jos tallennettu avain ei vastaa oletusluettelon ensimmäistä algoritmia.
Turvallisuuden takaamiseksi OpenSSH tarjoaa vaihtoehtoisia menetelmiä isäntäavaimen varmentamiseen käyttämällä SSHFP-merkintöjä DNSSEC:ssä ja isäntävarmenteissa (PKI). Voit myös poistaa isäntäavainalgoritmien mukautuvan valinnan käytöstä HostKeyAlgorithms-vaihtoehdon avulla ja käyttää UpdateHostKeys-vaihtoehtoa, jotta asiakas voi hankkia lisää isäntäavaimia todennuksen jälkeen.
Lähde: opennet.ru