Skupina výskumníkov z Ruhrskej univerzity v Bochume (Nemecko) predstavila novú techniku útoku MITM na SSH - Terrapin, ktorá využíva zraniteľnosť (CVE-2023-48795) v protokole. Útočník schopný zorganizovať útok MITM má schopnosť počas procesu vyjednávania o pripojení zablokovať odoslanie správy konfiguráciou rozšírení protokolu, aby sa znížila úroveň zabezpečenia pripojenia. Prototyp sady nástrojov pre útoky bol zverejnený na GitHub.
V kontexte OpenSSH vám táto zraniteľnosť napríklad umožňuje vrátiť späť pripojenie, aby ste mohli používať menej bezpečné autentifikačné algoritmy a deaktivovať ochranu pred útokmi z bočných kanálov, ktoré obnovujú vstup analyzovaním oneskorení medzi stlačeniami klávesov na klávesnici. V knižnici Python AsyncSSH v kombinácii so zraniteľnosťou (CVE-2023-46446) pri implementácii interného stavového automatu nám útok Terrapin umožňuje vkliniť sa do relácie SSH.
Zraniteľnosť ovplyvňuje všetky implementácie SSH, ktoré podporujú šifry v režime ChaCha20-Poly1305 alebo CBC v kombinácii s režimom ETM (Encrypt-then-MAC). Podobné funkcie sú napríklad dostupné v OpenSSH už viac ako 10 rokov. Táto chyba zabezpečenia je opravená v dnešnom vydaní OpenSSH 9.6, ako aj aktualizáciách PuTTY 0.80, libssh 0.10.6/0.9.8 a AsyncSSH 2.14.2. V Dropbear SSH už bola oprava pridaná do kódu, no nové vydanie ešte nebolo vygenerované.
Zraniteľnosť je spôsobená skutočnosťou, že útočník kontrolujúci prevádzku pripojenia (napríklad vlastník škodlivého bezdrôtového bodu) môže počas procesu vyjednávania o pripojení upraviť poradové čísla paketov a dosiahnuť tiché vymazanie ľubovoľného počtu správ služby SSH. odoslané klientom alebo serverom. Okrem iného môže útočník vymazať správy SSH_MSG_EXT_INFO používané na konfiguráciu použitých rozšírení protokolu. Aby sa druhej strane zabránilo v detekcii straty paketu v dôsledku medzery v sekvenčných číslach, útočník iniciuje odoslanie fiktívneho paketu s rovnakým poradovým číslom ako vzdialený paket, aby sa poradové číslo posunulo. Falošný paket obsahuje správu s príznakom SSH_MSG_IGNORE, ktorý sa počas spracovania ignoruje.
Útok nie je možné vykonať pomocou prúdových šifier a CTR, pretože narušenie integrity bude zistené na aplikačnej úrovni. V praxi je napadnuteľná iba šifra ChaCha20-Poly1305 ([chránené e-mailom]), v ktorom je stav sledovaný iba podľa poradových čísel správ a kombinácie z režimu Encrypt-Then-MAC (*[chránené e-mailom]) a CBC šifry.
V OpenSSH 9.6 a ďalších implementáciách je implementované rozšírenie protokolu „strict KEX“ na blokovanie útoku, ktorý je automaticky povolený, ak existuje podpora na strane servera a klienta. Rozšírenie ukončí pripojenie po prijatí akýchkoľvek abnormálnych alebo nepotrebných správ (napríklad s príznakom SSH_MSG_IGNORE alebo SSH2_MSG_DEBUG) prijatých počas procesu vyjednávania o pripojení a tiež vynuluje počítadlo MAC (Message Authentication Code) po dokončení každej výmeny kľúčov.
Zdroj: opennet.ru