Fast 11 Millionen über das Internet zugängliche SSH-Server sind anfällig für den Terrapin-Angriff, der die Integrität einiger SSH-Verbindungen bedroht.
Der Terrapin-Angriff zielt auf das SSH-Protokoll ab, betrifft sowohl Clients als auch Server, und wurde von Wissenschaftlern der Ruhr-Universität Bochum in Deutschland entwickelt.
Es manipuliert Sequenznummern während des Handshake-Prozesses, um die Integrität des SSH-Kanals zu gefährden, insbesondere wenn bestimmte Verschlüsselungsmodi wie ChaCha20-Poly1305 oder CBC mit Encrypt-then-MAC verwendet werden.
Ein Angreifer könnte daher die Public-Key-Algorithmen für die Benutzerauthentifizierung herabstufen und die Abwehr von Keystroke-Timing-Angriffen in OpenSSH 9.5 deaktivieren.
Eine bemerkenswerte Voraussetzung für den Terrapin-Angriff ist, dass sich die Angreifer in einer Adversary-in-the-Middle-Position (AitM) befinden, um den Handshake-Austausch abzufangen und zu modifizieren.
Es ist erwähnenswert, dass Bedrohungsakteure häufig interessante Netzwerke kompromittieren und auf den richtigen Moment warten, um ihren Angriff fortzusetzen.
Ein aktueller Bericht der Plattform zur Überwachung von Sicherheitsbedrohungen Shadowserver warnt davor, dass es fast 11 Millionen SSH-Server im öffentlichen Web gibt, die durch eindeutige IP-Adressen identifiziert werden und anfällig für Terrapin-Angriffe sind.
Dies entspricht etwa 52 % aller gescannten Samples im IPv4- und IPv6-Bereich, die von Shadowserver überwacht werden.
Die meisten der anfälligen Systeme wurden in den Vereinigten Staaten (3,3 Millionen) identifiziert, gefolgt von China (1,3 Millionen), Deutschland (1 Million), Russland (700.000), Singapur (390.000) und Japan (380.000).
Die Bedeutung des Berichts von Shadowserver liegt darin, dass er hervorhebt, dass Terrapin-Angriffe weitreichende Auswirkungen haben können.
Auch wenn nicht alle 11 Millionen Instanzen unmittelbar gefährdet sind, angegriffen zu werden, zeigt dies, dass Angreifer eine große Auswahl haben.
Wenn Sie einen SSH-Client oder -Server auf seine Anfälligkeit für Terrapin überprüfen möchten, stellt das Team der Ruhr-Universität Bochum einen Schwachstellen-Scanner zur Verfügung.
(Dieser Artikel ist im Original erschienen auf bleepingcomputer.com)
