neprihlásený
|
Piatok, 22. novembra 2024, dnes má meniny Cecília |
|
Objavený útok na SSH protokol, zatiaľ známe dopady sú limitované
Značky:
SSHInternetbezpečnosť
DSL.sk, 20.12.2023
|
|
Tím bezpečnostných expertov z Ruhr University Bochum identifikoval útok umožňujúci v niektorých prípadoch úspešne útočiť na SSH protokol a viacero jeho implementácií. Zatiaľ avizované dopady sú ale pomerne limitované a oslabujú bezpečnosť SSH iba v obmedzenej miere.
Útok dostal označenie Terrapin.
Útočníkovi, ktorý je schopný realizovať aktívny MiTM útok a teda modifikovať dáta prenášané medzi SSH klientom a serverom, umožňuje pri použití niektorých šifrovaní odstrániť niektoré zo správ protokolu posielané SSH klientom alebo serverom bez toho aby to druhá strana detekovala.
Najvážnejším všeobecným dopadom takéhoto útoku na rozličné implementácie je možnosť odstránenia správy EXT_INFO používanej na rozšírenia SSH, ktoré môžu zvyšovať bezpečnosť. Napríklad v prípade OpenSSH 9.5 to umožňuje deaktivovať ochrany proti detekcii presných časov medzi stlačeniami klávesov.
Podľa expertov to má dopad aj na bezpečnosť autentifikácie klienta ak sa používa verejný RSA kľúč, detaily k tejto informácii ale neuvádzajú.
Úplne najvážnejším dopadom detailnejšie popísaným expertami je umožnenie zneužitia ďalších chýb v implementácii AsyncSSH pomocou útoku Terrapin. Tieto ďalšie chyby umožňujú klienta prihlásiť na iný účet a následne umožňujú phishingový útok a potenciálne MiTM útok na dáta prenášané SSH. Zraniteľnosti boli v AsyncSSH opravené v novembri.
Základná zraniteľnosť v SSH má označenie CVE-2023-48795, zraniteľnosti v AsyncSSH CVE-2023-46445 a CVE-2023-46446.
Útok Terrapin sa dá využiť iba ak spojenie používa šifrovanie ChaCha20-Poly1305 alebo akúkoľvek CBC šifru s Encrypt-then-MAC. Jednou z ochrán je tak zakázanie používania týchto šifier v SSH softvéri.
Tvorcovia OpenSSH problém vyriešili vo verzii 9.6 rozšírením automaticky zapínajúcim striktnejšie pravidlá pre SSH protokol ak ho podporuje klient aj server.
Bližšie informácie o útoku a riešeniach je možné nájsť na terrapin-attack.com.
Najnovšie články:
Diskusia:
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
osada sk
Od: iq klesá
|
Pridané:
21.12.2023 1:08
90% IT odborníkov s diplom z SK vysokej školy si z toho nerobia ťažkú hlavu, lebo s tým nevedia urobiť nič.
|
|
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y
|
Pridané:
21.12.2023 7:29
Je ale namieste poznamenať, že zatiaľ známe dopady sú limitované len kvôli tomu, že tých objavených zraniteľností už bolo toľko, že z kredibility SSH protokolu priekazne už ani neni moc kde ubrať.
|
|
Re: osada sk
Od: GážduI'o
|
Pridané:
21.12.2023 9:34
Ale dalo by sa s tým čoto robiť a síce zájsť do obchoda a eščík pred placením priekazne warezácky downloadovať za toľko fliaš nejdražšéhó páľenô až kým nabehne bsod.
|
|
Re: osada sk
Od reg.: Pjetro de
|
Pridané:
21.12.2023 13:22
mas nejaky divny zaver vyroku, vyrok mal byt takyto:
90% IT odborníkov s diplom z SK ani nevedia ze existuje nieco ako SSH protokol
a istotne preto neriesili handshake ci prihlasenie pomocou certifikatu, pripadne RDP protokol a cross-AD domain NLA ci kerberos tokeny a AD
|
|
Re: osada sk
Od reg.: Pjetro de
|
Pridané:
21.12.2023 13:30
studium na SK VŠ dnes vyzera asi takto: tupi studenti pridu na prednasku ako do kina (uz ani nevedia co je pero a papier), chybaju im uz len kola a pukance, samozrejme predtym musia mat utrete ritky a 4 notifikacie v studentskom mailboxe, aby vobec vedeli kde prednaska je + laskavu prosbu od prednasajuceho, aby prisli
na seminaroch prezivaju a prezuvaju v ramci moznosti, polovicu vynechaju
na skuske/zapocte potom co-to bachnu do AI četu a svet je gombicka, ide sa dalej
|
|
Re: osada sk
Od reg.: Pjetro de
|
Pridané:
21.12.2023 13:31
za nasich cias:
- ziadny net, ziadne studentke e-systemy, ziadny mail
- vsetko osobne, vsetko papier
- neprestudoval si si studijny poriadok? tvoj problem ... samozrejme papierovu verziu, lebo ina neexistovala
- stare zname, otrepane ale krvavo pravdive motto: vojak sa o seba staral, vojak mal
- terminy skusok IBA na dverach kabinetu prednasajuceho, nestihol si fyzicky prist a zapisat sa? nikoho to nezaujima, nepotrehol si zmenu terminu skusky? to nikoho nezaujima, ty mas veci sledovat
- x-krat za semester do kniznice na druhy koniec mesta (to je miesto kde su take velka objekty plne papierovych lsitov, vravi sa tomu knihy, skripta ...)
|
|
Varovanie.
Od: Tradičný ITčkár
|
Pridané:
21.12.2023 8:22
V tomto sviatočnom čase, si často volajú osamelé dámy odborníkov IT, pod zámienkou prehrievania na severnom mostíku, úzkeho hrdla či pretekania zásobníka. Opravára prijímajú v negližé!
|
|
Re: Varovanie.
Od reg.: Sheep
|
Pridané:
21.12.2023 8:44
Chcel by si, čo?
|
|
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y
|
Pridané:
21.12.2023 9:04
A čo keď sa opravár do negližé nezmestí?
|
|
info prosim
Od: ggvdthntgff
|
Pridané:
21.12.2023 10:46
Me bude viac info poslite seem Robert.meier@resco.net
|
Pridať komentár
|
|
|
|