Бесплатно Экспресс-аудит сайта:

21.12.2023

Атака на протокол SSH: Terrapin понижает уровень безопасности OpenSSH

Группа исследователей из Рурского университета в Бохуме разработали новый вектор атаки под названием «Terrapin», в основе которого лежит манипуляция последовательностью номеров в процессе установления соединения (хендшейке).

Атака Terrapin способна нарушить целостность SSH-каналов при применении популярных режимов шифрования. Используя этот метод, хакеры могут удалять или изменять сообщения в канале, что влечет за собой снижение уровня безопасности алгоритмов открытого ключа, задействованных в аутентификации пользователей, а также отключение защиты от атак, базирующихся на анализе времени нажатия клавиш, что представляет опасность для OpenSSH 9.5.

Специалисты университета отметили, что атака Terrapin использует уязвимости в протоколе SSH вместе с криптографическими алгоритмами и режимами шифрования, представленными в OpenSSH более десяти лет назад

Упомянутые уязвимости, связанные с новым вектором атаки, получили идентификаторы CVE-2023-48795, CVE-2023-46445 и CVE-2023-46446.

Для осуществления атаки Terrapin необходимо, чтобы атакующие находились в позиции «человек посередине» (MiTM), а соединение должно быть защищено либо ChaCha20-Poly1305, либо CBC с Encrypt-then-MAC.

Многие производители уже предпринимают меры для снижения рисков, связанных с эксплуатацией Terrapin. Применение строгого обмена ключами, который предотвращает внедрение пакетов в процессе установления соединения, является одним из способов борьбы с этой угрозой. Эксперты подчеркивают, что для достижения максимальной защиты меры должны быть реализованы как на стороне клиента, так и на стороне сервера, что потребует дополнительного времени.

Исследователи разработали специализированный сканер уязвимостей Terrapin, доступный на GitHub, который помогает определить, подвержен ли SSH-клиент или сервер данной уязвимости. Подробное описание атаки и рекомендации по защите от нее представлены в техническом отчете , подготовленном экспертами Рурского университета.