Grupa istraživača sa Sveučilišta Ruhr u Bochumu (Njemačka) predstavila je novu tehniku MITM napada na SSH - Terrapin, koja iskorištava ranjivost (CVE-2023-48795) u protokolu. Napadač sposoban organizirati MITM napad ima mogućnost, tijekom procesa pregovaranja veze, blokirati slanje poruke konfiguriranjem proširenja protokola kako bi se smanjila razina sigurnosti veze. Prototip alata za napad objavljen je na GitHubu.
U kontekstu OpenSSH-a, ranjivost vam, na primjer, omogućuje vraćanje veze na staro stanje za korištenje manje sigurnih algoritama provjere autentičnosti i onemogućavanje zaštite od napada s bočnih kanala koji ponovno stvaraju unos analizirajući kašnjenja između pritisaka tipki na tipkovnici. U Python biblioteci AsyncSSH, u kombinaciji s ranjivošću (CVE-2023-46446) u implementaciji internog stroja stanja, Terrapin napad nam omogućuje da se ubacimo u SSH sesiju.
Ranjivost utječe na sve SSH implementacije koje podržavaju šifre ChaCha20-Poly1305 ili CBC u kombinaciji s ETM (Encrypt-then-MAC) načinom rada. Na primjer, slične mogućnosti dostupne su u OpenSSH više od 10 godina. Ranjivost je popravljena u današnjem izdanju OpenSSH 9.6, kao i ažuriranjima za PuTTY 0.80, libssh 0.10.6/0.9.8 i AsyncSSH 2.14.2. U Dropbear SSH, popravak je već dodan kodu, ali novo izdanje još nije generirano.
Ranjivost je uzrokovana činjenicom da napadač koji kontrolira promet veze (na primjer, vlasnik zlonamjerne bežične točke) može prilagoditi sekvencijske brojeve paketa tijekom procesa pregovaranja veze i postići tiho brisanje proizvoljnog broja SSH servisnih poruka šalje klijent ili poslužitelj. Između ostalog, napadač bi mogao izbrisati SSH_MSG_EXT_INFO poruke, koje se koriste za konfiguraciju korištenih proširenja protokola. Kako bi spriječio drugu stranu da otkrije gubitak paketa zbog praznine u sekvencijskim brojevima, napadač inicira slanje lažnog paketa s istim sekvencijskim brojem kao i udaljeni paket kako bi promijenio sekvencijski broj. Lažni paket sadrži poruku s oznakom SSH_MSG_IGNORE, koja se zanemaruje tijekom obrade.
Napad se ne može izvesti korištenjem stream šifri i CTR-a, jer će se povreda integriteta otkriti na razini aplikacije. U praksi je samo šifra ChaCha20-Poly1305 osjetljiva na napad ([e-pošta zaštićena]), u kojem se stanje prati samo sekvencijskim brojevima poruka i kombinacijom iz načina Encrypt-Then-MAC (*[e-pošta zaštićena]) i CBC šifre.
U OpenSSH 9.6 i drugim implementacijama, implementirano je proširenje "striktnog KEX" protokola za blokiranje napada, koji je automatski omogućen ako postoji podrška na strani poslužitelja i klijenta. Proširenje prekida vezu po primitku bilo koje neuobičajene ili nepotrebne poruke (na primjer, s oznakom SSH_MSG_IGNORE ili SSH2_MSG_DEBUG) primljene tijekom procesa pregovora o povezivanju, a također resetira MAC (Message Authentication Code) brojač nakon završetka svake razmjene ključeva.
Izvor: opennet.ru