Das SSH-Protokoll ist fast 30 Jahre in Gebrauch. Nun haben Bochumer-Forscher einen Angriff entwickelt, der das Potenzial hat kryptografische SSH-Schutzmaßnahmen zu untergraben, wenn nicht sogar lahmzulegen. Laut ShadowServer sind in Deutschland sind über 1 Million SSH-Server aktiv – weltweit mehrere Millionen.
Der Terrapin-Angriff ist eine neue Angriffstechnik auf das SSH-Protokoll, die von Forschern der Ruhr-Universität Bochum entdeckt wurde. Der Angriff kann die Integrität sicherer SSH-Verbindungen beeinträchtigen, indem er gezielte Anpassungen von Sequenznummern beim Handshake im Rahmen des Verbindungsaufbaus vornimmt.
🔎 Die Seite von ShadowServer zeigt, wie viele anfällige SSH-Server es gibt (Bild: ShadowServer).
Dadurch kann der Angreifer einige Nachrichten entfernen, die vom Client oder Server beim Aufbau eines sicheren Kanals gesendet werden, ohne dass die Teilnehmer dies bemerkten.
Gute Nachricht: Attacke nur Man in the Middle
Der Angriff kann zur Verwendung weniger sicherer Authentifizierungsalgorithmen führen und bestimmte Abhilfemaßnahmen gegen Keystroke-Timing-Angriffe in OpenSSH 9.5 außer Kraft setzen. Für eine erfolgreiche Ausnutzung von Terrapin muss ein Angreifer in der Lage sein, einen MitM-Angriff (Man in the Middle) auf die Verbindung zwischen Client und Server auszuführen und den Datenverkehr auf der TCP/IP-Ebene abzufangen und zu verändern.
Die SSH-Verbindung muss mit Chacha20-Poly1305 oder mit Encrypt-then-MAC im CBC-Modus verschlüsselt sein. Terrapin basiert auf einer als CVE-2023-48795 registrierten Schwachstelle, die zahlreiche SSH-Implementierungen betrifft, darunter OpenSSH, Putty und AsyncSSH sowie auch die Bibliotheken libssh und libssh2. Für viele dieser Tools gibt es bereits entsprechende Patches. Damit diese wirksam sind, müssen allerdings sowohl die Clients als auch die Server aktualisiert werden.
Terrapin-Webseite klärt auf
🔎 Die Webseite terrapin-attack.com der Ruhr Universität Bochum stellt alles zum Thema bereit (Bild: Uni Bochum).
Die Experten der Ruhr Universität Bochum haben auf einer speziellen Webseite alle Informationen zu Terrapin zusammengetragen. Neben einem ausführlichen Whitepaper gibt es Infos zu Patches und mehr. Es gibt sogar einen Schwachstellen-Scanner für sehr viele Plattformen der per GitHub bereitgestellt wird. Der Einsatz ist natürlich nur Fachleuten empfohlen. Sehr interessant ist auch der FAQ-Bereich der Seite, der Admins sehr viele Fragen zu dem Thema gleich beantwortet.
Eine Übersicht der anfälligen Server und SSh zeigt die interaktive Karte von ShadowServers. Dort lassen sich die Zahlen für anfällige Server in Deutschland, Europa und dem Rest der Welt sehr schnell abrufen.
Mehr bei Terrapin-Attack.com