Siber Muhbir

Terrapin (CVE-2023-48795, CVSS puanı: 5.9) olarak adlandırılan istismar, "pratik olarak istismar edilebilen ilk önek kesme saldırısı" olarak tanımlandı.

Araştırmacılar Fabian Bäumer, Marcus Brinkmann ve Jörg Schwenk, "El sıkışma sırasında sıra numaralarını dikkatli bir şekilde ayarlayarak, bir saldırgan, istemci veya sunucu tarafından güvenli kanalın başında gönderilen rastgele miktarda mesajı istemci veya sunucu fark etmeden kaldırabilir" dedi.

SSH, güvenli olmayan bir ağ üzerinden bir bilgisayara güvenli bir şekilde komut gönderme yöntemidir. Cihazlar arasındaki bağlantıları doğrulamak ve şifrelemek için kriptografiye dayanır.

Bu, bir istemci ve sunucunun kriptografik ilkeller üzerinde anlaştığı ve gizlilik ve bütünlük garantileri sağlayabilecek güvenli bir kanal kurmak için gereken anahtarları değiş tokuş ettiği bir el sıkışma yoluyla gerçekleştirilir.

Ancak, TCP/IP katmanında bağlantının trafiğini kesme ve değiştirme yeteneğine sahip etkin bir ortadaki düşman (AitM) konumundaki kötü bir aktör, SSH uzantısı anlaşması kullanılırken SSH bağlantısının güvenliğini düşürebilir.

Araştırmacılar, "Saldırı pratikte gerçekleştirilebilir ve bir saldırganın uzantı müzakere mesajını (RFC8308) transkriptten keserek bağlantının güvenliğini düşürmesine izin verebilir" dedi.

"Kesme, daha az güvenli istemci kimlik doğrulama algoritmalarının kullanılmasına ve OpenSSH 9.5'te tuş vuruşu zamanlama saldırılarına karşı belirli önlemlerin devre dışı bırakılmasına yol açabilir."

Saldırıyı gerçekleştirmek için gerekli olan bir diğer önemli ön koşul, bağlantıyı güvence altına almak için ChaCha20-Poly1305 veya Encrypt-then-MAC ile CBC gibi savunmasız bir şifreleme modunun kullanılmasıdır.

Qualys, "Gerçek dünya senaryosunda, bir saldırgan hassas verileri ele geçirmek veya yönetici ayrıcalıklı erişimini kullanarak kritik sistemler üzerinde kontrol sahibi olmak için bu güvenlik açığından yararlanabilir" dedi. "Bu risk, ayrıcalıklı verilere erişim sağlayan büyük, birbirine bağlı ağlara sahip kuruluşlar için özellikle akuttur."

Kusur, OpenSSH, Paramiko, PuTTY, Kitty, WinSCP, libssh, libssh2, AsyncSSH, FileZilla ve Dropbear gibi birçok SSH istemci ve sunucu uygulamasını etkiler ve geliştiricilerin potansiyel riskleri azaltmak için yamalar yayınlamasına neden olur.

JFrog'da güvenlik araştırmaları kıdemli güvenlik araştırmacısı Yair Mizrahi, "SSH sunucuları ve özellikle OpenSSH, bulut tabanlı kurumsal uygulama ortamlarında çok yaygın olarak kullanıldığından, şirketlerin sunucularına yama yapmak için uygun önlemleri aldıklarından emin olmaları zorunludur" dedi.

"Ancak, yamalı bir sunucuya bağlanan savunmasız bir istemci, yine de savunmasız bir bağlantıya neden olacaktır. Bu nedenle şirketler, tüm altyapılarındaki her savunmasız olayı tespit etmek ve derhal bir azaltma uygulamak için adımlar atmalıdır."