neprihlásený Sobota, 4. mája 2024, dnes má meniny Florián
Objavený útok na SSH protokol, zatiaľ známe dopady sú limitované

Značky: SSHInternetbezpečnosť

DSL.sk, 20.12.2023


Tím bezpečnostných expertov z Ruhr University Bochum identifikoval útok umožňujúci v niektorých prípadoch úspešne útočiť na SSH protokol a viacero jeho implementácií. Zatiaľ avizované dopady sú ale pomerne limitované a oslabujú bezpečnosť SSH iba v obmedzenej miere.

Útok dostal označenie Terrapin.

Útočníkovi, ktorý je schopný realizovať aktívny MiTM útok a teda modifikovať dáta prenášané medzi SSH klientom a serverom, umožňuje pri použití niektorých šifrovaní odstrániť niektoré zo správ protokolu posielané SSH klientom alebo serverom bez toho aby to druhá strana detekovala.

Najvážnejším všeobecným dopadom takéhoto útoku na rozličné implementácie je možnosť odstránenia správy EXT_INFO používanej na rozšírenia SSH, ktoré môžu zvyšovať bezpečnosť. Napríklad v prípade OpenSSH 9.5 to umožňuje deaktivovať ochrany proti detekcii presných časov medzi stlačeniami klávesov.

Podľa expertov to má dopad aj na bezpečnosť autentifikácie klienta ak sa používa verejný RSA kľúč, detaily k tejto informácii ale neuvádzajú.

Úplne najvážnejším dopadom detailnejšie popísaným expertami je umožnenie zneužitia ďalších chýb v implementácii AsyncSSH pomocou útoku Terrapin. Tieto ďalšie chyby umožňujú klienta prihlásiť na iný účet a následne umožňujú phishingový útok a potenciálne MiTM útok na dáta prenášané SSH. Zraniteľnosti boli v AsyncSSH opravené v novembri.

Základná zraniteľnosť v SSH má označenie CVE-2023-48795, zraniteľnosti v AsyncSSH CVE-2023-46445 a CVE-2023-46446.

Útok Terrapin sa dá využiť iba ak spojenie používa šifrovanie ChaCha20-Poly1305 alebo akúkoľvek CBC šifru s Encrypt-then-MAC. Jednou z ochrán je tak zakázanie používania týchto šifier v SSH softvéri.

Tvorcovia OpenSSH problém vyriešili vo verzii 9.6 rozšírením automaticky zapínajúcim striktnejšie pravidlá pre SSH protokol ak ho podporuje klient aj server.

Bližšie informácie o útoku a riešeniach je možné nájsť na terrapin-attack.com.

      Zdieľaj na Twitteri



Najnovšie články:

Prvý let vesmírneho Boeingu sa zrejme konečne uskutoční o tri dni
Spotify zrejme pripravuje uvedenie bezstratovej kvality audia
Seriál Fallout podľa počítačovej hry si za 2 týždne pozrelo 65 miliónov ľudí
Železnice opäť aktualizujú systémy, v noci na nedeľu nebude fungovať internetový predaj lístkov
Satelit so solárnou plachtou je úspešne na orbite
K Microsoft účtom sa už dá prihlasovať bez hesla pomocou passkeys
O2 zvýšilo pokrytie 5G, podiel 5G zariadení rastie len pomaly
Telekom začal ponúkať nové programy Swipe pre mladých s veľkým objemom dát
Avizovaná nová verzia distribuovaného súborového systému Ceph, je v ňom viac ako exabajt
iPhony majú aktuálne problém s budíkmi, nebudia


Diskusia:
                               
 
osada sk
Od: iq klesá | Pridané: 21.12.2023 1:08

90% IT odborníkov s diplom z SK vysokej školy si z toho nerobia ťažkú hlavu, lebo s tým nevedia urobiť nič.
Odpovedať Známka: 6.2 Hodnotiť:
 
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y | Pridané: 21.12.2023 7:29

Je ale namieste poznamenať, že zatiaľ známe dopady sú limitované len kvôli tomu, že tých objavených zraniteľností už bolo toľko, že z kredibility SSH protokolu priekazne už ani neni moc kde ubrať.
Odpovedať Známka: -6.7 Hodnotiť:
 
Re: osada sk
Od: GážduI'o | Pridané: 21.12.2023 9:34

Ale dalo by sa s tým čoto robiť a síce zájsť do obchoda a eščík pred placením priekazne warezácky downloadovať za toľko fliaš nejdražšéhó páľenô až kým nabehne bsod.
Odpovedať Známka: -10.0 Hodnotiť:
 
Re: osada sk
Od reg.: Pjetro de | Pridané: 21.12.2023 13:22

mas nejaky divny zaver vyroku, vyrok mal byt takyto:

90% IT odborníkov s diplom z SK ani nevedia ze existuje nieco ako SSH protokol

a istotne preto neriesili handshake ci prihlasenie pomocou certifikatu, pripadne RDP protokol a cross-AD domain NLA ci kerberos tokeny a AD
Odpovedať Hodnotiť:
 
Re: osada sk
Od reg.: Pjetro de | Pridané: 21.12.2023 13:30

studium na SK VŠ dnes vyzera asi takto: tupi studenti pridu na prednasku ako do kina (uz ani nevedia co je pero a papier), chybaju im uz len kola a pukance, samozrejme predtym musia mat utrete ritky a 4 notifikacie v studentskom mailboxe, aby vobec vedeli kde prednaska je + laskavu prosbu od prednasajuceho, aby prisli

na seminaroch prezivaju a prezuvaju v ramci moznosti, polovicu vynechaju

na skuske/zapocte potom co-to bachnu do AI četu a svet je gombicka, ide sa dalej


Odpovedať Známka: 0.0 Hodnotiť:
 
Re: osada sk
Od reg.: Pjetro de | Pridané: 21.12.2023 13:31

za nasich cias:
- ziadny net, ziadne studentke e-systemy, ziadny mail
- vsetko osobne, vsetko papier
- neprestudoval si si studijny poriadok? tvoj problem ... samozrejme papierovu verziu, lebo ina neexistovala
- stare zname, otrepane ale krvavo pravdive motto: vojak sa o seba staral, vojak mal
- terminy skusok IBA na dverach kabinetu prednasajuceho, nestihol si fyzicky prist a zapisat sa? nikoho to nezaujima, nepotrehol si zmenu terminu skusky? to nikoho nezaujima, ty mas veci sledovat
- x-krat za semester do kniznice na druhy koniec mesta (to je miesto kde su take velka objekty plne papierovych lsitov, vravi sa tomu knihy, skripta ...)
Odpovedať Známka: -5.0 Hodnotiť:
 
Varovanie.
Od: Tradičný ITčkár | Pridané: 21.12.2023 8:22

V tomto sviatočnom čase, si často volajú osamelé dámy odborníkov IT, pod zámienkou prehrievania na severnom mostíku, úzkeho hrdla či pretekania zásobníka. Opravára prijímajú v negližé!
Odpovedať Známka: 0.0 Hodnotiť:
 
Re: Varovanie.
Od reg.: Sheep | Pridané: 21.12.2023 8:44

Chcel by si, čo?
Odpovedať Známka: 10.0 Hodnotiť:
 
ultraumiernený prakticizmus
Od: syntaxterrorXXX, . Y | Pridané: 21.12.2023 9:04

A čo keď sa opravár do negližé nezmestí?
Odpovedať Známka: 7.5 Hodnotiť:
 
info prosim
Od: ggvdthntgff | Pridané: 21.12.2023 10:46

Me bude viac info poslite seem Robert.meier@resco.net
Odpovedať Známka: -10.0 Hodnotiť:

Pridať komentár