Eng Grupp vu Fuerscher vun der Ruhr Universitéit zu Bochum (Däitschland) huet eng nei MITM Attack Technik op SSH presentéiert - Terrapin, déi eng Schwachstelle (CVE-2023-48795) am Protokoll exploitéiert. En Ugräifer, deen fäeg ass e MITM-Attack z'organiséieren, huet d'Fäegkeet, während dem Verbindungsverhandlungsprozess, d'Verschécken vun engem Message ze blockéieren andeems Dir Protokollverlängerungen konfiguréiert fir de Verbindungssécherheetsniveau ze reduzéieren. E Prototyp vum Attack Toolkit gouf op GitHub publizéiert.
Am Kontext vun OpenSSH erlaabt d'Schwachheet, zum Beispill, d'Verbindung zréckzekréien fir manner sécher Authentifikatiounsalgorithmen ze benotzen an de Schutz géint Side-Channel Attacken auszeschalten, déi Input nei erstellen andeems d'Verzögerungen tëscht Tastatur op der Tastatur analyséiert ginn. An der Python-Bibliothéik AsyncSSH, a Kombinatioun mat enger Schwachstelle (CVE-2023-46446) an der Ëmsetzung vun der interner Staatsmaschinn, erlaabt d'Terrapin Attack eis eis an eng SSH Sessioun ze wedge.
D'Schwachheet beaflosst all SSH Implementatiounen déi ChaCha20-Poly1305 oder CBC Modus Chifferen a Kombinatioun mam ETM (Encrypt-then-MAC) Modus ënnerstëtzen. Zum Beispill sinn ähnlech Fäegkeeten an OpenSSH fir méi wéi 10 Joer verfügbar. D'Vulnerabilitéit ass an der heiteger Verëffentlechung vun OpenSSH 9.6 fixéiert, souwéi Updates op PuTTY 0.80, libssh 0.10.6/0.9.8 an AsyncSSH 2.14.2. Am Dropbear SSH ass de Fix schonn an de Code bäigefüügt, awer eng nei Verëffentlechung ass nach net generéiert.
D'Schwachheet gëtt verursaacht duerch d'Tatsaach datt en Ugräifer de Verbindungsverkéier kontrolléiert (zum Beispill de Besëtzer vun engem béiswëllegen Wireless-Punkt) kann d'Pak Sequenznummeren während dem Verbindungsverhandlungsprozess upassen an déi roueg Läschung vun enger arbiträrer Unzuel vun SSH Service Messagen erreechen vum Client oder Server geschéckt. Ënner anerem kann en Ugräifer SSH_MSG_EXT_INFO Messagen läschen, déi benotzt gi fir d'Protokollverlängerungen ze konfiguréieren déi benotzt ginn. Fir ze verhënneren datt déi aner Partei e Paketverloscht erkennt wéinst engem Spalt an de Sequenznummeren, initiéiert den Ugräifer en Dummy-Paket mat der selwechter Sequenznummer ze schécken wéi de Fernpaket fir d'Sequenznummer ze verschécken. Den Dummy Paket enthält e Message mam SSH_MSG_IGNORE Fändel, dee während der Veraarbechtung ignoréiert gëtt.
D'Attack kann net mat Stream Chifferen a CTR duerchgefouert ginn, well d'Integritéitsverletzung um Applikatiounsniveau festgestallt gëtt. An der Praxis ass nëmmen de ChaCha20-Poly1305 Chiffer ufälleg fir Attacken ([Email geschützt]), an deem de Staat nëmmen duerch Message Sequenznummeren verfollegt gëtt, an eng Kombinatioun vum Encrypt-Then-MAC Modus (*[Email geschützt]) an CBC Chifferen.
An OpenSSH 9.6 an aner Implementatiounen gëtt eng Verlängerung vum "strikte KEX" Protokoll implementéiert fir den Attack ze blockéieren, deen automatesch aktivéiert gëtt wann et Ënnerstëtzung op de Server a Client Säiten gëtt. D'Extensioun terminéiert d'Verbindung beim Empfang vun all anormalen oder onnéidege Messagen (zum Beispill mat der SSH_MSG_IGNORE oder SSH2_MSG_DEBUG Fändel) déi während dem Verbindungsverhandlungsprozess empfaangen ass, an och de MAC (Message Authentication Code) Konter no der Fäerdegstellung vun all Schlësselaustausch zréckgesat.
Source: opennet.ru