Група истраживача са Универзитета Рур у Бохуму (Немачка) представила је нову МИТМ технику напада на ССХ - Террапин, која искоришћава рањивост (ЦВЕ-2023-48795) у протоколу. Нападач који је способан да организује МИТМ напад има могућност, током процеса преговарања о повезивању, да блокира слање поруке конфигурисањем проширења протокола како би се смањио ниво безбедности везе. Прототип комплета алата за напад је објављен на ГитХуб-у.
У контексту ОпенССХ-а, рањивост вам, на пример, омогућава да вратите везу како бисте користили мање безбедне алгоритме за аутентификацију и онемогућили заштиту од напада са стране канала који поново креирају унос анализирајући кашњења између притисака на тастере на тастатури. У Питхон библиотеци АсинцССХ, у комбинацији са рањивошћу (ЦВЕ-2023-46446) у имплементацији унутрашње машине стања, Террапин напад нам омогућава да се углавимо у ССХ сесију.
Рањивост утиче на све ССХ имплементације које подржавају шифре ЦхаЦха20-Поли1305 или ЦБЦ режима у комбинацији са ЕТМ (Енцрипт-тхен-МАЦ) режимом. На пример, сличне могућности су доступне у ОпенССХ-у више од 10 година. Рањивост је исправљена у данашњем издању ОпенССХ 9.6, као и исправкама за ПуТТИ 0.80, либссх 0.10.6/0.9.8 и АсинцССХ 2.14.2. У Дропбеар ССХ, исправка је већ додата коду, али ново издање још није генерисано.
Рањивост је узрокована чињеницом да нападач који контролише саобраћај везе (на пример, власник злонамерне бежичне тачке) може да подеси редовне бројеве пакета током процеса преговарања о повезивању и постигне тихо брисање произвољног броја ССХ сервисних порука шаље клијент или сервер. Између осталог, нападач би могао да избрише ССХ_МСГ_ЕКСТ_ИНФО поруке које се користе за конфигурисање проширења протокола који се користе. Да би спречио другу страну да открије губитак пакета због празнине у бројевима секвенце, нападач иницира слање лажног пакета са истим редним бројем као и удаљени пакет како би променио број секвенце. Лажни пакет садржи поруку са ознаком ССХ_МСГ_ИГНОРЕ, која се занемарује током обраде.
Напад не може да се изведе коришћењем стреам шифри и ЦТР-а, пошто ће кршење интегритета бити откривено на нивоу апликације. У пракси, само ЦхаЦха20-Поли1305 шифра је подложна нападу ([емаил заштићен]), у којем се стање прати само редним бројевима порука и комбинација из режима Шифровање-Затим-МАЦ (*[емаил заштићен]) и ЦБЦ шифре.
У ОпенССХ 9.6 и другим имплементацијама имплементирано је проширење „стриктног КЕКС“ протокола како би се блокирао напад, који је аутоматски омогућен ако постоји подршка на страни сервера и клијента. Екстензија прекида везу по пријему било које ненормалне или непотребне поруке (на пример, са заставицом ССХ_МСГ_ИГНОРЕ или ССХ2_МСГ_ДЕБУГ) примљених током процеса преговарања о вези, а такође ресетује бројач МАЦ (код за потврду идентитета) након завршетка сваке размене кључева.
Извор: опеннет.ру