I SSH-klienter OpenSSH och PuTTY ( i PuTTY och i OpenSSH), vilket leder till informationsläckage i anslutningsförhandlingsalgoritmen. Sårbarheten tillåter en angripare som kan fånga upp klienttrafik (till exempel när en användare ansluter via en angriparkontrollerad trådlös åtkomstpunkt) att upptäcka ett försök att initialt ansluta klienten till värden när klienten ännu inte har cachat värdnyckeln.
Genom att veta att klienten försöker ansluta för första gången och ännu inte har värdnyckeln på sin sida, kan angriparen sända anslutningen genom sig själv (MITM) och ge klienten sin värdnyckel, vilket SSH-klienten kommer att överväga att vara nyckeln till målvärden om den inte verifierar nyckelfingeravtrycket. Således kan en angripare organisera MITM utan att väcka misstankar hos användaren och ignorera sessioner där klientsidan redan har cachade värdnycklar, ett försök att ersätta vilket kommer att resultera i en varning om bytet av värdnyckeln. Attacken är baserad på vårdslöshet hos användare som inte manuellt kontrollerar värdnyckelns fingeravtryck när de först ansluter. De som kontrollerar nyckelfingeravtryck är skyddade från sådana attacker.
Som ett tecken för att fastställa det första anslutningsförsöket används en ändring i ordningen för listning av värdnyckelalgoritmer som stöds. Om den första anslutningen inträffar, sänder klienten en lista med standardalgoritmer, och om värdnyckeln redan finns i cachen, placeras den associerade algoritmen på första plats (algoritmerna sorteras i prioritetsordning).
Problemet dyker upp i OpenSSH-versionerna 5.7 till 8.3 och PuTTY 0.68 till 0.73. Problem i fråga genom att lägga till ett alternativ för att inaktivera den dynamiska konstruktionen av en lista med värdnyckelbearbetningsalgoritmer till förmån för att lista algoritmerna i en konstant ordning.
OpenSSH-projektet planerar inte att ändra beteendet hos SSH-klienten, eftersom om du inte anger algoritmen för den befintliga nyckeln i första hand, kommer ett försök att göras att använda en algoritm som inte motsvarar den cachade nyckeln och en varning om en okänd nyckel kommer att visas. De där. ett val uppstår - antingen informationsläckage (OpenSSH och PuTTY), eller varningar om att byta nyckel (Dropbear SSH) om den sparade nyckeln inte motsvarar den första algoritmen i standardlistan.
För att tillhandahålla säkerhet erbjuder OpenSSH alternativa metoder för värdnyckelverifiering med hjälp av SSHFP-poster i DNSSEC och värdcertifikat (PKI). Du kan också inaktivera adaptivt val av värdnyckelalgoritmer genom alternativet HostKeyAlgorithms och använda alternativet UpdateHostKeys för att låta klienten få ytterligare värdnycklar efter autentisering.
Källa: opennet.ru