Почти 11 миллионов SSH-серверов в Интернете уязвимы к атаке Terrapin, которая угрожает целостности некоторых SSH-соединений.
Сайт Атака Terrapin направлена на протокол SSH, затрагивая как клиентов, так и серверы, и была разработана академическими исследователями из Рурского университета Бохума в Германии.
Она манипулирует порядковыми номерами в процессе рукопожатия, чтобы нарушить целостность SSH-канала, особенно при использовании определенных режимов шифрования, таких как ChaCha20-Poly1305 или CBC с Encrypt-then-MAC.
Таким образом, злоумышленник может понизить уровень алгоритмов открытых ключей для аутентификации пользователей и отключить защиту от атак по времени нажатия клавиш в OpenSSH 9.5.
Примечательным требованием атаки Terrapin является необходимость нахождения злоумышленников в позиции "противник посередине" (AitM) для перехвата и модификации обмена рукопожатиями.
Стоит отметить, что субъекты угроз часто компрометируют интересующие их сети и ждут подходящего момента для проведения атаки.
В недавнем отчете платформы мониторинга угроз безопасности Shadowserver сообщается, что в публичной сети существует около 11 миллионов SSH-серверов, идентифицируемых по уникальным IP-адресам, которые уязвимы для атак Terrapin.
Это составляет примерно 52 % всех отсканированных образцов в пространстве IPv4 и IPv6, отслеживаемых Shadoserver.
Больше всего уязвимых систем было выявлено в США (3,3 миллиона), за ними следуют Китай (1,3 миллиона), Германия (1 миллион), Россия (700 000), Сингапур (390 000) и Япония (380 000).
Глобальная подверженность риску Terrapin (Shadowserver)
Важность отчета Shadowserver заключается в том, что атаки Terrapin могут иметь широкомасштабное воздействие.
Хотя не все 11 миллионов инстансов подвергаются непосредственному риску атаки, это показывает, что у противников есть большой резерв для выбора.
Если вы хотите проверить SSH-клиент или сервер на восприимчивость к Terrapin, команда Рурского университета Бохума предлагает сканер уязвимостей.