Quasi 11 milioni di server SSH esposti su Internet sono vulnerabili all’attacco Terrapin, che minaccia l’integrità di alcune connessioni SSH.
Dettagli sull’Attacco Terrapin
L’attacco Terrapin prende di mira il protocollo SSH, influenzando sia i client che i server, ed è stato sviluppato da ricercatori accademici dell’Università di Ruhr a Bochum, in Germania. Manipola i numeri di sequenza durante il processo di handshake per compromettere l’integrità del canale SSH, in particolare quando vengono utilizzate modalità di crittografia specifiche come ChaCha20-Poly1305 o CBC con Encrypt-then-MAC.
Un attaccante potrebbe quindi declassare gli algoritmi di chiave pubblica per l’autenticazione dell’utente e disabilitare le difese contro gli attacchi di timing delle battiture su OpenSSH 9.5.
Requisiti per l’Attacco Terrapin
Un requisito notevole per l’attacco Terrapin è la necessità per gli attaccanti di trovarsi in una posizione di avversario nel mezzo (AitM) per intercettare e modificare lo scambio di handshake. È importante notare che gli attori delle minacce spesso compromettono le reti di interesse e attendono il momento giusto per progredire nel loro attacco.
Report di Shadowserver
Un recente rapporto della piattaforma di monitoraggio delle minacce di sicurezza Shadowserver avverte che ci sono quasi 11 milioni di server SSH sul web pubblico, identificati da indirizzi IP unici, che sono vulnerabili agli attacchi Terrapin. Ciò costituisce circa il 52% di tutti i campioni scansionati nello spazio IPv4 e IPv6 monitorato da Shadowserver.
La maggior parte dei sistemi vulnerabili è stata identificata negli Stati Uniti (3,3 milioni), seguita da Cina (1,3 milioni), Germania (1 milione), Russia (700.000), Singapore (390.000) e Giappone (380.000).
Impatto degli Attacchi Terrapin
Sebbene non tutte le 11 milioni di istanze siano a rischio immediato di attacco, ciò mostra che gli avversari hanno un ampio bacino da cui attingere. Per verificare la vulnerabilità di un client o server SSH a Terrapin, il team dell’Università di Ruhr a Bochum fornisce uno scanner di vulnerabilità.