Une vulnérabilité inhérente au protocole Secure Shell (SSH) présente la possibilité d'être exploitée par un adversaire stratégiquement positionné, compromettant potentiellement l'intégrité des connexions SSH si certaines conditions sont remplies.. Ce type de vulnérabilité peut permettre à un attaquant, via une attaque de l'homme du milieu (MITM) bien exécutée, de forcer les clients SSH à adopter des méthodes d'authentification plus vulnérables et à désactiver des mesures de sécurité spécifiques. La portée exacte de cette vulnérabilité est complexe à déterminer en raison de la variété des configurations client-serveur, des différentes implémentations de protocoles et d'autres variables contextuelles. Il est important de noter que SSH est couramment utilisé pour établir des connexions à distance sécurisées et administrer des systèmes via une interface de ligne de commande.
Une attaque, surnommée « l’attaque Terrapin », a été décrite en détail dans un dossier technique récemment publié par Fabian Bäumer, Marcus Brinkmann et Jörg Schwenk, informaticiens respectés affiliés à l'Université de la Ruhr à Bochum, en Allemagne. Cette attaque a été mise en lumière en octobre lorsque des chercheurs ont discrètement informé les développeurs de clients et de serveurs SSH de la vulnérabilité, déclenchant un processus d'atténuation qui est désormais devenu public avec la publication de correctifs et d'informations associées.
L'équipe de recherche a également mis à disposition des scripts d'accompagnement et des documents supplémentaires sur GitHub pour ceux qui sont intéressés par des détails techniques plus précis. Un autre outil open source a été développé pour tester la susceptibilité des clients et serveurs SSH à l'attaque Terrapin. Suite à cette découverte, il est prévu que des mises à jour logicielles pour SSH soient distribuées aux utilisateurs, et entre-temps, plusieurs stratégies d'atténuation ont été proposées. Malgré cela, il n’y a aucune raison de s’inquiéter outre mesure puisque l’attaque nécessite un emplacement MITM actif sur la connexion vulnérable plutôt qu’une attaque directe sur le serveur. Il s’agit davantage d’une attaque de déclassification que d’un problème de décryptage ou d’injection de commandes. En fait, il existe des méthodologies pour se protéger immédiatement des attaques Terrapin.
Il est essentiel d’être conscient de trois CVE spécifiques : CVE-2023-48795, qui concerne la vulnérabilité générique au niveau du protocole SSH ; et CVE-2023-46445 et CVE-2023-46446, qui sont spécifiques au client SSH Python AsyncSSH. AsyncSSH est particulièrement remarquable compte tenu de ses environ 60.000 2.14.1 téléchargements quotidiens. Ce client open source présentait des erreurs d'implémentation qui pourraient être exploitées dans une attaque Terrapin pour, par exemple, inciter une victime à se connecter à un compte shell sous le contrôle de l'attaquant plutôt que le sien. AsyncSSH a corrigé ces vulnérabilités dans les versions 2.14.2 et XNUMX, respectivement.
Comment Terrapin Attack fonctionne-t-il sur SSH ?
L'attaque Terrapin, plus précisément CVE-2023-48795, est une attaque par troncature de préfixe qui permet à un attaquant MITM de dégrader la sécurité d'une connexion SSHv2 pendant la phase de négociation d'extension. Cette attaque est analogue à un problème identifié en 2015 dans TLS 1.3 et corrigé par la suite. Une attaque Terrapin réussie peut entraîner l'utilisation d'algorithmes d'authentification client moins robustes et la désactivation de contre-mesures spécifiques contre les attaques basées sur les frappes au clavier dans OpenSSH 9.5. Dans des circonstances particulièrement spécifiques, il pourrait être utilisé pour déchiffrer certains secrets, tels que le mot de passe d'un utilisateur ou des parties de celui-ci lors de la connexion, bien qu'il s'agisse d'un événement non trivial et peu susceptible d'être réalisé en pratique.
Le mécanisme d'attaque MITM de Terrapin consiste à insérer un message « ignorer » en texte clair dans la connexion pré-sécurisée pendant la prise de contact, provoquant l'incrémentation du compteur de séquence des messages reçus par le client, tandis que le message lui-même est ignoré. Une fois le canal sécurisé établi, l'attaquant MITM empêche le serveur d'envoyer des messages au client concernant des défenses supplémentaires. Bien que le message soit chiffré, l’attaquant l’empêche simplement d’arriver et le client ne le détecte pas et n’agit pas en conséquence. Cette manœuvre est essentielle car le décompte correct des messages envoyés et reçus est ensuite utilisé pour vérifier l'intégrité de l'ensemble du processus de prise de contact. Si les décomptes semblent corrects, la connexion continue comme si de rien n'était.
Il est important de noter que l’algorithme de chiffrement adopté pour le canal sécurisé est crucial pour déterminer si une connexion SSH est susceptible d’être attaquée avec succès. Certains algorithmes, comme ChaCha20-Poly1305, ont été identifiés comme « vulnérables et parfaitement exploitables » en raison de la façon dont les numéros de séquence sont utilisés dans la dérivation des clés. Bien qu’il n’y ait aucune faiblesse cryptographique inhérente à ces algorithmes, la manière dont ils sont implémentés pour SSH peut présenter des vulnérabilités. CBC-Encrypt-then-MAC (CBC-EtM) s'est également révélé probablement vulnérable et exploitable, même si, en fonction de l'implémentation spécifique, l'attaque peut ne pas réussir. L'algorithme CTR-Encrypt-then-MAC est vulnérable mais pas exploitable en pratique.
Les experts ont constaté que plus des trois quarts des serveurs SSH exposés publiquement prennent en charge « au moins un mode qui peut être exploité en pratique », 57 % d’entre eux choisissant un algorithme exploitable comme choix préféré. Malgré la gravité de cette découverte, les experts ont souligné qu’il n’était pas nécessaire de désactiver les outils SSH ou d’en faire une priorité immédiate. L'attaque nécessite un attaquant MITM actif capable d'intercepter et de modifier le trafic de connexion au niveau de la couche TCP/IP. De plus, pour être efficace, l'attaque nécessite la négociation de ChaCha20-Poly1305 ou de tout chiffrement CBC en combinaison avec le mode Encrypt-then-MAC comme mode de cryptage de connexion.
En termes d'atténuation, il est recommandé de garder un œil sur les correctifs ou les mises à jour et de les installer dès que possible.. Par exemple, pour les utilisateurs Linux, ces mises à jour doivent être disponibles via la méthode de mise à jour habituelle de votre distribution. Récemment, la version 9.6 d'OpenSSH a été publiée, qui, entre autres, a adressé à Terrapin un protocole d'échange de clés plus rigoureux qui, s'il est pris en charge à la fois par le serveur et le client, devrait contrecarrer efficacement ces attaques. Il est important de noter que la connexion d'un client vulnérable à un serveur corrigé, et vice versa, entraîne toujours une connexion vulnérable. Putty 0.8 a également été publié cette semaine pour affronter Terrapin, avec libssh 0.10.6 et libssh 0.9.8.
En plus des mises à jour, les administrateurs peuvent atténuer les attaques en désactivant les modes de chiffrement vulnérables dans la configuration de leurs serveurs SSH et en optant à la place pour des algorithmes non vulnérables tels que AES-GCM. Cependant, il existe un risque que si le serveur est mal configuré ou si votre client ne prend pas en charge la configuration, l'accès au serveur peut être perdu. Il convient également de noter que les anciennes versions d'OpenSSH (6.2 et 6.3) sont vulnérables à un débordement de tampon lors de l'utilisation d'AES-GCM.
En conclusion, Terrapin n’est pas un simple bug logiciel qui peut être corrigé avec une seule mise à jour de composant. Au contraire, cela nécessite des mises à jour des clients et des serveurs pour protéger les connexions contre les attaques par troncature de préfixe. Cela met en évidence la nécessité de sensibiliser davantage à ce problème dans toutes les implémentations de clients et de serveurs SSH, ce qui représente un effort considérable pour la communauté informatique.
