neprihlásený Pondelok, 29. apríla 2024, dnes má meniny Lea
Objavený útok na SSH protokol, zatiaľ známe dopady sú limitované

Značky: SSHInternetbezpečnosť

DSL.sk, 20.12.2023


Tím bezpečnostných expertov z Ruhr University Bochum identifikoval útok umožňujúci v niektorých prípadoch úspešne útočiť na SSH protokol a viacero jeho implementácií. Zatiaľ avizované dopady sú ale pomerne limitované a oslabujú bezpečnosť SSH iba v obmedzenej miere.

Útok dostal označenie Terrapin.

Útočníkovi, ktorý je schopný realizovať aktívny MiTM útok a teda modifikovať dáta prenášané medzi SSH klientom a serverom, umožňuje pri použití niektorých šifrovaní odstrániť niektoré zo správ protokolu posielané SSH klientom alebo serverom bez toho aby to druhá strana detekovala.

Najvážnejším všeobecným dopadom takéhoto útoku na rozličné implementácie je možnosť odstránenia správy EXT_INFO používanej na rozšírenia SSH, ktoré môžu zvyšovať bezpečnosť. Napríklad v prípade OpenSSH 9.5 to umožňuje deaktivovať ochrany proti detekcii presných časov medzi stlačeniami klávesov.

Podľa expertov to má dopad aj na bezpečnosť autentifikácie klienta ak sa používa verejný RSA kľúč, detaily k tejto informácii ale neuvádzajú.

Úplne najvážnejším dopadom detailnejšie popísaným expertami je umožnenie zneužitia ďalších chýb v implementácii AsyncSSH pomocou útoku Terrapin. Tieto ďalšie chyby umožňujú klienta prihlásiť na iný účet a následne umožňujú phishingový útok a potenciálne MiTM útok na dáta prenášané SSH. Zraniteľnosti boli v AsyncSSH opravené v novembri.

Základná zraniteľnosť v SSH má označenie CVE-2023-48795, zraniteľnosti v AsyncSSH CVE-2023-46445 a CVE-2023-46446.

Útok Terrapin sa dá využiť iba ak spojenie používa šifrovanie ChaCha20-Poly1305 alebo akúkoľvek CBC šifru s Encrypt-then-MAC. Jednou z ochrán je tak zakázanie používania týchto šifier v SSH softvéri.

Tvorcovia OpenSSH problém vyriešili vo verzii 9.6 rozšírením automaticky zapínajúcim striktnejšie pravidlá pre SSH protokol ak ho podporuje klient aj server.

Bližšie informácie o útoku a riešeniach je možné nájsť na terrapin-attack.com.

      Zdieľaj na Twitteri



Najnovšie články:

Hubblov teleskop má opäť problém s gyroskopom
Google začne vyplácať dividendy, prekročil hodnotu 2 bilióny
Raspberry Pi rozšírilo ponuku modelov Compute Module
Po rokoch vypustené nové navigačné Galileo satelity, SpaceX na to obetovala raketu
Operačný systém Proxmox pre virtualizáciu vydaný v novej verzii 8.2
České železnice idú testovať WiFi vo vlakoch cez satelitný Starlink
V bezplatnom DVB-T bude počas MS v hokeji aj Joj Šport
NASA komunikovala laserom na stovky miliónov km rýchlosťou 25 Mbps
Let vesmírneho Boeingu by sa už mal uskutočniť, o menej ako dva týždne
Vydané Ubuntu 24.04 s dlhou podporou


Diskusia:
                               
 
osada sk
Od: iq klesá | Pridané: 21.12.2023 1:08

90% IT odborníkov s diplom z SK vysokej školy si z toho nerobia ťažkú hlavu, lebo s tým nevedia urobiť nič.
Odpovedať Známka: 6.2 Hodnotiť:
 
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y | Pridané: 21.12.2023 7:29

Je ale namieste poznamenať, že zatiaľ známe dopady sú limitované len kvôli tomu, že tých objavených zraniteľností už bolo toľko, že z kredibility SSH protokolu priekazne už ani neni moc kde ubrať.
Odpovedať Známka: -6.7 Hodnotiť:
 
Re: osada sk
Od: GážduI'o | Pridané: 21.12.2023 9:34

Ale dalo by sa s tým čoto robiť a síce zájsť do obchoda a eščík pred placením priekazne warezácky downloadovať za toľko fliaš nejdražšéhó páľenô až kým nabehne bsod.
Odpovedať Známka: -10.0 Hodnotiť:
 
Re: osada sk
Od reg.: Pjetro de | Pridané: 21.12.2023 13:22

mas nejaky divny zaver vyroku, vyrok mal byt takyto:

90% IT odborníkov s diplom z SK ani nevedia ze existuje nieco ako SSH protokol

a istotne preto neriesili handshake ci prihlasenie pomocou certifikatu, pripadne RDP protokol a cross-AD domain NLA ci kerberos tokeny a AD
Odpovedať Hodnotiť:
 
Re: osada sk
Od reg.: Pjetro de | Pridané: 21.12.2023 13:30

studium na SK VŠ dnes vyzera asi takto: tupi studenti pridu na prednasku ako do kina (uz ani nevedia co je pero a papier), chybaju im uz len kola a pukance, samozrejme predtym musia mat utrete ritky a 4 notifikacie v studentskom mailboxe, aby vobec vedeli kde prednaska je + laskavu prosbu od prednasajuceho, aby prisli

na seminaroch prezivaju a prezuvaju v ramci moznosti, polovicu vynechaju

na skuske/zapocte potom co-to bachnu do AI četu a svet je gombicka, ide sa dalej


Odpovedať Známka: 0.0 Hodnotiť:
 
Re: osada sk
Od reg.: Pjetro de | Pridané: 21.12.2023 13:31

za nasich cias:
- ziadny net, ziadne studentke e-systemy, ziadny mail
- vsetko osobne, vsetko papier
- neprestudoval si si studijny poriadok? tvoj problem ... samozrejme papierovu verziu, lebo ina neexistovala
- stare zname, otrepane ale krvavo pravdive motto: vojak sa o seba staral, vojak mal
- terminy skusok IBA na dverach kabinetu prednasajuceho, nestihol si fyzicky prist a zapisat sa? nikoho to nezaujima, nepotrehol si zmenu terminu skusky? to nikoho nezaujima, ty mas veci sledovat
- x-krat za semester do kniznice na druhy koniec mesta (to je miesto kde su take velka objekty plne papierovych lsitov, vravi sa tomu knihy, skripta ...)
Odpovedať Známka: -5.0 Hodnotiť:
 
Varovanie.
Od: Tradičný ITčkár | Pridané: 21.12.2023 8:22

V tomto sviatočnom čase, si často volajú osamelé dámy odborníkov IT, pod zámienkou prehrievania na severnom mostíku, úzkeho hrdla či pretekania zásobníka. Opravára prijímajú v negližé!
Odpovedať Známka: 0.0 Hodnotiť:
 
Re: Varovanie.
Od reg.: Sheep | Pridané: 21.12.2023 8:44

Chcel by si, čo?
Odpovedať Známka: 10.0 Hodnotiť:
 
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y | Pridané: 21.12.2023 9:04

A čo keď sa opravár do negližé nezmestí?
Odpovedať Známka: 7.5 Hodnotiť:
 
info prosim
Od: ggvdthntgff | Pridané: 21.12.2023 10:46

Me bude viac info poslite seem Robert.meier@resco.net
Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár