14 novembre 2023

La compromission passive de la clé privée du serveur SSH est réelle pour certains appareils vulnérables

Utilisateurs d'OpenSSL, LibreSSL, OpenSSH, ne vous inquiétez pas : vous pouvez laisser cette chose tranquille

Un étude universitaire récente démontré comment il est possible, pour un attaquant, intercepter les connexions SSH de certains appareils et, avec un peu de chance, usurper l'identité de ces appareils après avoir secrètement découvert les clés RSA privées des hôtes. Ce type d'attaque, appelé « homme du milieu », permet à l'attaquant d'observer silencieusement les informations de connexion des utilisateurs et de surveiller leurs activités avec des serveurs SSH distants. SSH est couramment utilisé pour accéder et contrôler un appareil via une interface de ligne de commande, bien que d'autres utilisations existent.

Les clés RSA privées de l'hôte peuvent être obtenues en surveillant passivement les connexions des clients au serveur SSH d'un appareil vulnérable : des erreurs de calcul accidentelles ou naturelles lors de la génération de signature peuvent être observées et exploitées pour calculer la clé privée du serveur SSH, idéalement secrète.

Les erreurs naturelles font référence à celles causées par les rayons cosmiques et autres petits défauts qui altèrent les bits, tandis que les erreurs accidentelles sont dues à des algorithmes de génération de signature RSA mal mis en œuvre. Vous pourriez penser que les premiers sont si rares qu’ils ne sont pas exploitables de manière réaliste et que les seconds seraient déjà connus, mais soyez assuré qu’en surveillant suffisamment de connexions SSH à un serveur SSH vulnérable, vous finirez par voir une connexion exploitable.

Il est important de noter que les bibliothèques de logiciels OpenSSL et LibreSSL, et donc OpenSSH, ne sont pas connues pour être vulnérables à cette méthode de déduction de clé. Cela signifie, à notre avis, que la grande majorité des appareils, serveurs et autres équipements sur Internet ne sont pas menacés, et qu'il reste certains appareils de l'Internet des objets et équipements embarqués similaires susceptibles d'être attaqués. Cela n'affecte que les clés RSA.

L'étude a été menée par Keegan Ryan, Kaiwen He, George Arnold Sullivan et Nadia Heninger de l'Université de Californie à San Diego (Kaiwen He est également au MIT). La technique que l'équipe utilise pour discerner les clés RSA privées découle des recherches sur le TLS menées par Florian Weimer en 2015 et des travaux de 2022 de certains des auteurs de l'article de San Diego, ainsi que de recherches remontant aux années 90.

Compromission de clé SSH passive via des treillis

Thomas Ptacek, un expert d'Infosec, a partagé ici un résumé du document clé du RSA, pour une explication facile à comprendre du problème. Merci également à Dan Goodin, ancien journaliste du Register, qui a rapporté le document via Ars Technica.

Lorsqu'un client se connecte à un serveur SSH vulnérable, lors de ses négociations pour établir des communications sécurisées et cryptées, le serveur génère une signature numérique que le client vérifie pour s'assurer qu'il parle au serveur qu'il attend.

Cette génération de signature peut être interrompue de manière aléatoire ou accidentellement, comme décrit ci-dessus, afin que des algorithmes intelligents puissent déduire de la signature erronée la clé RSA privée du serveur, utilisée dans la génération de signature. Une contre-mesure consiste à s’assurer que la signature est correcte avant de la délivrer au client ; OpenSSL et LibreSSL le font déjà.

Les auteurs de l'étude ont déclaré :

Nous démontrons qu'un attaquant passif peut obtenir de manière opportuniste des clés RSA privées d'hôte à partir d'un serveur SSH qui subit une erreur naturelle lors du calcul de la signature. Auparavant, on pensait que cela n'était pas possible pour le protocole SSH car la signature incluait des informations telles que le secret partagé Diffie-Hellman qui ne seraient pas disponibles pour un observateur passif du réseau. Nous montrons que pour les paramètres de signature couramment utilisés pour SSH, il existe une attaque de grille efficace pour récupérer la clé privée en cas d'échec de signature. Nous fournissons une analyse de sécurité des protocoles SSH, IKEv1 et IKEv2 dans ce scénario et utilisons notre attaque pour découvrir indépendamment des centaines de clés compromises dans le monde entier à partir de différentes implémentations vulnérables.

Un adversaire passif peut surveiller silencieusement les connexions légitimes sans risque d'être détecté jusqu'à ce qu'il observe une signature défectueuse qui expose la clé privée. L'attaquant peut alors activement et indétectable usurper l'identité de l'hôte compromis pour intercepter des données sensibles.

Les chercheurs ont déclaré avoir examiné Internet et examiné les données d'analyse SSH précédemment collectées pour mesurer la prévalence des signatures vulnérables, et ont déclaré que leur ensemble de données d'environ 5,2 milliards d'enregistrements SSH, couvrant plus de sept ans d'observations, contenait plus de 590.000 XNUMX signatures RSA invalides.

Utiliser le leur technique de récupération de clé de réseau les universitaires ont déclaré que plus de 4.900 189 de ces signatures défectueuses ont révélé la factorisation de la clé publique RSA correspondante, qu'ils ont utilisée pour dériver les clés privées RSA pour XNUMX de ces clés publiques.

Au cours de leurs recherches, les auteurs ont découvert quatre fabricants dont les produits étaient vulnérables à ce type d'enquête clé : Cisco, Zyxel, Hillstone Networks et Mocana. Les chercheurs ont révélé le problème à Cisco et à Zyxel et ont noté que les deux fournisseurs avaient « rapidement enquêté ».

Cisco a déterminé que ses logiciels ASA et FTD avaient résolu le problème en 2022, et avant la publication du document, il « enquêtait sur les mesures d'atténuation » pour les logiciels IOS et IOS XE.

Pendant ce temps, Zyxel a conclu que la faille affectait uniquement son micrologiciel en fin de vie et qu'il avait alors commencé à utiliser OpenSSL non vulnérable. Les chercheurs affirment qu'ils n'ont pas pu contacter Hillstone Networks et Mocana et ont plutôt renvoyé le problème au centre de coordination du CERT.

Une implémentation de serveur SSH se déclarant « SSH-2.0-SSHD » est également considérée comme vulnérable, ce qui pourrait être utilisé par certaines applications Java au niveau de l'entreprise. Étant donné que la technique de déduction de clé tourne autour de PKCSv1.5, les DNSSEC utilisant les signatures PKCSv1.5-RSA peuvent également être menacés.

Ils ont également noté que l’ensemble de données de signatures dans les connexions IPsec n’était pas suffisamment volumineux pour conclure si ce protocole est vulnérable à une telle fuite de clé : «Compte tenu de la rareté des failles de signature vulnérables, nous ne sommes pas en mesure de tirer de grandes conclusions sur les implémentations IPsec à partir de nos données et pensons que cette question mérite une étude plus approfondie. »

 

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de The FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Hetzner Online GmbH détient les droits sur Hetzner® ; OVHcloud est une marque déposée d'OVH Groupe SAS ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Facebook, Inc. détient les droits sur Facebook®. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente en aucune manière aucune de ces entités. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

Retour en haut de page