infosec
@it_secur
45.9K subscribers
920 photos
52 videos
93 files
1.25K links
Copyright: @SEAdm1n

Вакансии: @infosec_work

Информационная безопасность. Литература для ИТ специалистов. Пентест, DevOps, Администрирование.

Преобрести рекламное размещение: https://telega.in/c/it_secur
Download Telegram
About
Blog
Apps
Platform
Join
infosec
45.9K subscribers
infosec
infosec
Photo
🐢 Terrapin Attack.

Terrapin — атака, которая манипулирует данными в процессе хендшейка, в итоге нарушая целостность канала SSH при использовании ряда широко распространенных режимов шифрования.

• Атака позволяет удалять или изменять сообщения, передающиеся в рамках канала связи, что приводит к даунгрейду уровня алгоритмов публичных ключей, используемых для аутентификации пользователей, или к полному отключению защиты от timing-атак, основанных на анализе времени нажатия клавиш, в OpenSSH 9.5. В итоге Terrapin снижает безопасность соединения, манипулируя negotiation-сообщениями таким образом, что клиент или сервер этого не замечают.

• Уязвимости, связанные с этой атакой, получили следующие идентификаторы:

- CVE-2023-48795, общая уязвимостью SSH на уровне протокола;
- CVE-2023-46445 и CVE-2023-46446, проблемы, характерные для SSH-клиента AsyncSSH, который ежедневно скачивают около 60 000 пользователей.

• Для перехвата и модификации хендшейка атакующий должен заранее занять в сети позицию типа man-in-the-middle (MiTM), а соединение должно быть защищено либо посредством ChaCha20-Poly1305, либо CBC с Encrypt-then-MAC.

Более подробное описание реализации можно найти здесь: https://terrapin-attack.com

• Стоит отметить, что на GitHub есть сканер для обнаружения уязвимостей Terrapin, с помощью которого администраторы смогут определить, уязвим ли их SSH-клиент или сервер к этой атаке: https://github.com/RUB-NDS/Terrapin-Scanner

• Что касается цифр, то аналитики из Shadowserver опубликовали интересную информацию, что в сети можно обнаружить около 11 миллионов SSH-серверов (по количеству уникальных IP-адресов), которые уязвимы перед атаками Terrapin.

• Таким образом, уязвимы примерно 52% всех просканированных образцов в пространствах IPv4 и IPv6. Больше всего уязвимых систем было выявлено в США (3,3 млн), за которыми следуют Китай (1,3 млн), Германия (1 млн), Россия (700 000), Сингапур (390 000) и Япония (380 000).

• Хотя не все 11 миллионов уязвимых серверов подвергаются непосредственному риску атаки, информация Shadowserver наглядно демонстрирует, что у злоумышленников есть из чего выбирать.

#Новости #Разное #SSH
Please open Telegram to view this post
VIEW IN TELEGRAM
12.7K viewsedited