In groep ûndersikers fan 'e Ruhr Universiteit yn Bochum (Dútslân) presintearre in nije MITM oanfal technyk op SSH - Terrapin, dy't eksploitearret in kwetsberens (CVE-2023-48795) yn it protokol. In oanfaller dy't by steat is om in MITM-oanfal te organisearjen hat de mooglikheid om, tidens it ferbiningsûnderhannelingsproses, it ferstjoeren fan in berjocht te blokkearjen troch protokolútwreidingen te konfigurearjen om it ferbiningsfeiligensnivo te ferminderjen. In prototype fan 'e oanfal toolkit is publisearre op GitHub.
Yn 'e kontekst fan OpenSSH lit de kwetsberens jo bygelyks de ferbining weromdraaie om minder feilige autentikaasjealgoritmen te brûken en beskerming útskeakelje tsjin side-kanaal oanfallen dy't ynfier opnij meitsje troch de fertragingen tusken toetsoanslaggen op it toetseboerd te analysearjen. Yn 'e Python-bibleteek AsyncSSH, yn kombinaasje mei in kwetsberens (CVE-2023-46446) yn' e ymplemintaasje fan 'e ynterne steatmasine, lit de Terrapin-oanfal ús ússels yn in SSH-sesje wigge.
De kwetsberens hat ynfloed op alle SSH-ymplemintaasjes dy't ChaCha20-Poly1305- of CBC-modus-sifers stypje yn kombinaasje mei ETM (Encrypt-dan-MAC) modus. Bygelyks, ferlykbere mooglikheden binne beskikber west yn OpenSSH foar mear dan 10 jier. De kwetsberens is fêst yn 'e hjoeddeistige release fan OpenSSH 9.6, lykas updates foar PuTTY 0.80, libssh 0.10.6/0.9.8 en AsyncSSH 2.14.2. Yn Dropbear SSH is de fix al tafoege oan de koade, mar in nije release is noch net oanmakke.
De kwetsberens wurdt feroarsake troch it feit dat in oanfaller dy't it ferbiningsferkear kontrolearret (bygelyks de eigner fan in kwea-aardich draadloos punt) kin de pakketsekwinsjenûmers oanpasse tidens it ferbiningsûnderhannelingsproses en it stille wiskjen fan in willekeurige oantal SSH-tsjinstberjochten berikke stjoerd troch de klant of tsjinner. Under oare dingen, in oanfaller kin wiskje SSH_MSG_EXT_INFO berjochten brûkt om te konfigurearjen de protokol tafoegings brûkt. Om foar te kommen dat de oare partij in pakketferlies ûntdekt troch in gat yn 'e folchoardernûmers, begjint de oanfaller it ferstjoeren fan in dummypakket mei itselde folchoardernûmer as it pakket op ôfstân om it folchoardernûmer te ferskowen. It dummy-pakket befettet in berjocht mei de flagge SSH_MSG_IGNORE, dat wurdt negearre tidens it ferwurkjen.
De oanfal kin net útfierd wurde mei stream-sifers en CTR, om't de yntegriteitsbreuk sil wurde ûntdutsen op it tapassingsnivo. Yn 'e praktyk is allinich de ChaCha20-Poly1305-sifer gefoelich foar oanfal ([e-post beskerme]), wêryn de steat allinich folge wurdt troch berjochtsekwinsjenûmers, en in kombinaasje fan 'e Encrypt-Then-MAC-modus (*[e-post beskerme]) en CBC-sifers.
Yn OpenSSH 9.6 en oare ymplemintaasjes wurdt in útwreiding fan it "strikte KEX" protokol ymplementearre om de oanfal te blokkearjen, dy't automatysk ynskeakele is as der stipe is op 'e server- en kliïntsiden. De tafoeging beëiniget de ferbining by ûntfangst fan alle abnormale of ûnnedige berjochten (bygelyks mei de SSH_MSG_IGNORE- of SSH2_MSG_DEBUG-flagge) ûntfongen tidens it ferbiningsûnderhannelingsproses, en set ek de MAC (Message Authentication Code) teller werom nei it foltôgjen fan elke toetsútwikseling.
Boarne: opennet.ru