เมื่อสองสัปดาห์ก่อนนักวิจัยด้านความปลอดภัยที่ Ruhr University Bochum ของเยอรมนีค้นพบช่องโหว่ในโปรโตคอลเครือข่ายการเข้ารหัส Secure Shell (SSH) ที่ช่วยให้ผู้โจมตีสามารถปรับลดระดับความปลอดภัยของการเชื่อมต่อที่ดำเนินการโดยโปรโตคอลได้

 

ช่องโหว่นี้เรียกว่า Terrapin (CVE-2023-48795, คะแนน CVSS 5.9) ซึ่งเป็นการโจมตีแบบตัดคำนำหน้า โดยแพ็กเก็ตที่เข้ารหัสบางส่วนที่จุดเริ่มต้นของช่อง SSH สามารถลบได้โดยที่ไคลเอ็นต์หรือเซิร์ฟเวอร์ไม่สังเกตเห็น สิ่งนี้สามารถทำได้ในระหว่างกระบวนการ handshake ซึ่งมีการจัดการหมายเลขลำดับเมื่อสร้างการเชื่อมต่อ SSH และข้อความที่แลกเปลี่ยนระหว่างไคลเอนต์และเซิร์ฟเวอร์จะถูกลบออก

 

ในการโจมตี Terrapin ผู้โจมตีจะต้องอยู่ใน adversary-in-the-middle position (เรียกย่อว่า AitM และรู้จักกันในชื่อ man-in-the-middle หรือ MitM) ที่เลเยอร์เครือข่ายเพื่อสกัดกั้นและแก้ไขการแลกเปลี่ยนการ handshake และการเชื่อมต่อจะต้องปลอดภัยด้วย ChaCha20-Poly1305 หรือ CBC ด้วย Encrypt-then-MAC

 

ขณะนี้การสแกนล่าสุดโดยแพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัย Shadowserver เตือนว่ามีเกือบ 11 ล้านที่ IP address เซิร์ฟเวอร์ SSH ที่เสี่ยงต่อการโจมตีของ Terrapin เกือบหนึ่งในสามของ address เหล่านั้น 3.3 ล้านที่อยู่ถูกระบุในสหรัฐอเมริกา ตามมาด้วยจีน (1.3 ล้าน) เยอรมนี (1 ล้าน) รัสเซีย (700,000) สิงคโปร์ (390,000) และญี่ปุ่น (380,000)

 

ซึ่งคิดเป็นประมาณ 52% ของที่อยู่ IPv4 และ IPv6 ทั้งหมดที่วิเคราะห์โดยระบบตรวจสอบของ Shadowserver Foundation แม้ว่าเซิร์ฟเวอร์ SSH ทั้งหมด 11 ล้านเครื่อง (ตาม IP ที่ไม่ซ้ำกัน) จะมีความเสี่ยงที่จะถูกโจมตีทันทีตามเงื่อนไขของการโจมตี Terrapin แต่สิ่งนี้ก็ยังคงเปิดโอกาสให้อาชญากรไซเบอร์ใช้ประโยชน์ได้มากมาย

 

นักวิจัยของ Ruhr University Bochum ได้จัดเตรียมเครื่องสแกนช่องโหว่บนพื้นที่เก็บข้อมูล GitHub สำหรับผู้ใช้ Linux, Windows และ macOS ที่ต้องการตรวจสอบว่าไคลเอ็นต์หรือเซิร์ฟเวอร์ SSH ของตนเสี่ยงต่อ Terrapin หรือไม่

Source : techworm.net