Milhões ainda não corrigiram a vulnerabilidade do protocolo SSH da Terrapin

Aproximadamente 11 milhões de servidores expostos à Web estão vulneráveis ​​a uma vulnerabilidade descoberta recentemente que pode permitir que invasores entrem nas redes afetadas. Depois de entrarem, os invasores comprometem a integridade das sessões SSH, que constituem a base para os administradores se conectarem com segurança a computadores na nuvem e em outros ambientes críticos.

Terrapin, chamada Vulnerabilidade, veio à tona há duas semanas em um artigo de pesquisa publicado por pesquisadores acadêmicos. Rastreado como CVE-2023-48795, quando os invasores usam um ataque adversário no meio (AitM, abreviado como man-in-the-middle ou MitM), os pesquisadores propuseram um ataque que se reposiciona na mesma rede local e intercepta secretamente comunicações, comprometendo tanto o destinatário quanto o remetente. A identificação também pode ser obtida.

Nesses casos, o Terrapin permite que invasores alterem ou corrompam as informações enviadas no fluxo de dados SSH durante o handshake – o estágio inicial da conexão, quando ambas as partes negociam os parâmetros de criptografia usados ​​para estabelecer uma conexão segura. Assim, o Terrapin representa o primeiro ataque criptográfico prático visando a integridade do protocolo SSH. Ele tem como alvo o BPP (Binary Packet Protocol), que é projetado para garantir que os AitMs não possam adicionar ou descartar mensagens trocadas durante um handshake. Isso é Truncamento de prefixo O ataque funciona quando as implementações suportam modos de criptografia “ChaCha20-Poly1305” ou “CBC com Encrypt-then-MAC”, que foram detectados em 77% dos servidores SSH no momento da publicação do artigo.

Uma varredura em toda a web realizada na terça-feira, último dia em que esses dados estavam disponíveis no momento do relatório, encontrou mais de 11 milhões de endereços IP expondo um servidor SSH como vulnerável ao Terrapin. Quase um terço desses endereços, 3,3 milhões, reside nos Estados Unidos, seguidos pela China, Rússia, Alemanha, Rússia e Singapura. Todas as implementações não conectadas monitoradas pelo Shadowserver suportam os métodos de criptografia necessários.

Apenas 53 das instâncias vulneráveis ​​dependiam de implementações de AsyncSSH, que atualmente é o único aplicativo conhecido que foi seriamente afetado pelo Terrapin. Duas vulnerabilidades encontradas no AsyncSSH permitiram que o Terrapin injetasse ou descartasse pacotes ou representasse shells instalados. AsyncSSH aborda essas duas vulnerabilidades, rastreadas como CVE-2023-46445 e CVE-2023-46446, além de CVE-2023-48795, uma vulnerabilidade Terrapin que afeta o protocolo SSH. A maioria dos usuários do AsyncSSH parece ter instalado patches.

A necessidade do estatuto de AitM e a falta de ataques práticos actualmente conhecidos por parte da Terrapin são importantes factores atenuantes, que alguns críticos dizem ter sido perdidos em alguma cobertura noticiosa. Neste ponto, como os patches estavam amplamente disponíveis há uma ou duas semanas, existem alguns bons motivos para não corrigir a falha do protocolo agora.

“Este ataque requer um pouco de complexidade, pois o MitM é necessário, portanto, em nossa opinião, limitará o uso prático a ataques mais direcionados”, escreveu o pesquisador do Shadowserer, Piotr Kijewski, em um e-mail para Ars. “Portanto, é pouco provável que seja explorada em massa. No entanto, o grande volume de casos vulneráveis ​​sugere que esta vulnerabilidade estará connosco nos próximos anos e, em certos casos, será atractiva”.

Embora seja improvável que o Terrapin seja amplamente explorado, ele tem potencial para ser usado em ataques direcionados por atacantes sofisticados, como aqueles apoiados por estados-nação. Embora as versões anteriores do AsyncSSH fossem a única implementação conhecida vulnerável a ataques pragmáticos de tartarugas, os pesquisadores passaram algum tempo analisando outras implementações. Adversários com mais tempo, recursos e motivação podem identificar outras implementações vulneráveis.

Kijewski listou os 50 principais banners exibidos por endereços IP vulneráveis:

• número de serverid_software
• abresh_7.4 2878009
• abresh_7.6p1 956296
• abresh_8.2p1 802582
• abresh_8.0 758138
• abresh_7.9p1 718727
• abresh_8.4p1 594147
• abresh_8.9p1 460595
• abresh_7.2p2 391769
• abresh_7.4p1 320805
• abresh_8.5 316462
• abresh_9.3 298626
• abresh_8.7 219381
• abresh_6.7p1 156758
• abresh_9.2p1 141010
• abresh_6.6.1p1 136489
• abresh_9.0 112179
• abresh_6.6.1 105423
• dropbear_2020.80 93154
• abresh_8.8 88284
• abresh_7.5 76034
• aws_sftp_1.175157
• abresh_9.0p1 70305
• abresh_8.2 59887
• abresh_7.9 59301
• Urso Gota 51374
• abresh 35408
• abresh_7.2 34494
• abresh_7.8 33955
• dropbear_2020.81 28189
• abresh_9.5 27525
• abresh_9.1 26748
• abresh_8.1 23188
• lancom 22267
• abresh_6.4 18483
• abresh_8.4 18158
• abresh_8.9 17310
• abresh_7.6 17235
• abresh_for_windows_8.1 17150
• abresh_for_windows_7.7 15603
• abresh_8.6 14018
• abresh_6.9 13601
• abresh_9.4 12802
• dropbear_2022.82 12605
• dropbear_2022.83 12036
• abresh_7.7 11645
• abresh_for_windows_8.0 11089
• abresh_7.3 10083
• mod_sftp9937
• abresh_8.3p1 9163
• Cisco-1.25 8301

A aplicação de patches no Terrapin não é simples devido às múltiplas implementações envolvidas e à necessidade de corrigir aplicativos em execução no cliente administrativo e no servidor. Os pesquisadores listaram as seguintes implementações como vulneráveis ​​e incluíram links para patches, quando disponíveis. Os asteriscos indicam que os desenvolvedores de aplicativos foram contatados antes da publicação do artigo de pesquisa:

Conforme explicado anteriormente, há poucos motivos para alarme em massa. Terrapin não é um Citrix bleed, CVE-2022-47966, MoveID, CVE-2021-22986, ou CVE-2023-49103, ou CVE-2021-22986, que são algumas das vulnerabilidades mais exploradas de 2020. Milhões de servidores. Até o momento, não há relatos conhecidos de adesivos Terrapin causando efeitos colaterais. É melhor que os administradores corrijam isso logo.