11 million de serveurs ssh seraient vulnérables..
L’article de recherche intitulé « Terrapin Attack: Breaking SSH Channel Integrity » par Fabian Bäumer, Marcus Brinkmann, et Jörg Schwenk de l’Université de Bochum daté du 19 décembre 2023 décrit une vulnérabilité de sécurité dans le protocole SSH (Secure Shell).
L’attaque, nommée « Terrapin Attack », exploite des faiblesses dans la gestion des numéros de séquence et le chiffrement des données par SSH.
Cette vulnérabilité permet à un attaquant de compromettre l’intégrité des communications chiffrées SSH.
L’attaque Terrapin exploite une vulnérabilité dans le protocole SSH. Elle se concentre sur les numéros de séquence et le chiffrement des données.
L’attaque permet à un intrus de manipuler les données transmises via SSH en insérant ou supprimant des données de telle manière que le destinataire ne se rend pas compte de la modification.
Cela entraîne une violation de l’intégrité des données chiffrées, permettant potentiellement à l’attaquant d’accéder ou de manipuler des informations sensibles transmises via SSH.
OpenSSH est vulnérable à l’attaque Terrapin.
Les chercheurs ont confirmé que cette technique fonctionne avec OpenSSH versions 9.4p1 et 9.5p1, ainsi que d’autres implémentations SSH comme Dropbear et PuTTY.
L’attaque Terrapin permet de supprimer des paquets au début du canal SSH sans que le client ou le serveur ne s’en rende compte.
Cela inclut la possibilité de compromettre la négociation des extensions SSH, ce qui peut avoir des implications sur la sécurité, comme la désactivation de contre-mesures contre les attaques de timing de frappe introduites dans OpenSSH 9.5.
Néanmoins, les expériences ont montré que OpenSSH 9.5p1 reconnaît un dépassement des numéros de séquence et termine la connexion, ce qui le rend non affecté par les techniques avancées de l’attaque Terrapin.
Le papier: https://terrapin-attack.com/TerrapinAttack.pdf
Le site de référence https://terrapin-attack.com
Pour remédier à l’attaque Terrapin sur SSH, plusieurs mesures peuvent être prises :
Assurez-vous que les implémentations SSH comme OpenSSH sont à jour avec les dernières versions qui peuvent contenir des correctifs pour cette vulnérabilité.
Évitez les modes de chiffrement vulnérables aux attaques de type prefix truncation. Privilégiez des modes de chiffrement plus robustes et modernes.
Renforcez la vérification de l’intégrité des données au sein des canaux SSH pour détecter toute manipulation non autorisée des paquets de données.
Restreignez l’accès aux serveurs SSH aux seuls utilisateurs et réseaux nécessaires, réduisant ainsi la surface d’attaque potentielle.
Mettez en place des systèmes de surveillance et de détection des anomalies dans les communications SSH pour identifier rapidement toute activité suspecte.
Informez les administrateurs système et les utilisateurs sur les risques de sécurité liés à SSH et sur les bonnes pratiques à adopter.
Effectuez régulièrement des audits de sécurité et des tests d’intrusion pour identifier et corriger les vulnérabilités.