Neue Angriffstechnik: Terrapin schwächt verschlüsselte SSH-Verbindungen

Ein Forscherteam von der Ruhr Universität Bochum hat eine neue Angriffstechnik auf das SSH-Protokoll vorgestellt, durch die wohl die Integrität sicherer SSH-Verbindungen beeinträchtigt wird. Möglich werde der als Terrapin bezeichnete Angriff durch gezielte Anpassungen von Sequenznummern beim Handshake im Rahmen des Verbindungsaufbaus, erklären die Forscher in ihrem Bericht.

Dadurch könne der Angreifer einige Nachrichten entfernen, die vom Client oder Server beim Aufbau eines sicheren Kanals gesendet werden, ohne dass die Teilnehmer dies bemerkten. Dazu zähle auch eine Nachricht für die Extension-Negotiation (RFC8308).

Diese zu entfernen, könne beispielsweise einen Fallback zu weniger sicheren Client-Authentifizierungsalgorithmen zur Folge haben und bestimmte Abhilfemaßnahmen gegen Keystroke-Timing-Angriffe in OpenSSH 9.5 außer Kraft setzen.

Zugriff auf Netzwerkverkehr erforderlich

Für eine erfolgreiche Ausnutzung von Terrapin muss ein Angreifer wohl in der Lage sein, einen MitM-Angriff (Man in the Middle) auf die Verbindung zwischen Client und Server auszuführen und den Datenverkehr auf der TCP/IP-Ebene abzufangen und zu verändern. Darüber hinaus muss die SSH-Verbindung mit Chacha20-Poly1305 oder mit Encrypt-then-MAC im CBC-Modus verschlüsselt sein.

Die genannten Konfigurationen kommen aber wohl häufiger zum Einsatz. "Unser Scan ergab, dass mindestens 77 Prozent der SSH-Server im Internet mindestens einen Modus unterstützen, der in der Praxis ausgenutzt werden kann", erklären die Forscher diesbezüglich. Auf Github steht ein Schwachstellen-Scanner bereit, mit dem sich die Anfälligkeit überprüfen lässt. Technische Details zu Terrapin erläutert das Forscherteam in einem ausführlichen Paper (PDF).

Viele gängige SSH-Implementierungen betroffen

Terrapin basiert auf einer als CVE-2023-48795 registrierten Schwachstelle, die zahlreiche SSH-Implementierungen betrifft, darunter OpenSSH, Putty und AsyncSSH sowie auch die Bibliotheken libssh und libssh2. Für viele dieser Tools gibt es bereits entsprechende Patches. Damit diese wirksam sind, müssen allerdings sowohl die Clients als auch die Server aktualisiert werden. Alternativ bietet sich aber wohl auch der Umstieg auf nicht betroffene Verschlüsselungsalgorithmen wie AES-GCM an.

Mit CVE-2023-46445 und CVE-2023-46446 weisen die Forscher außerdem auf noch zwei weitere Schwachstellen in AsyncSSH hin, die wohl auf Implementierungsfehlern beruhen. In Zusammenhang mit einem Terrapin-Angriff sei es Angreifern damit möglich, den Client einer Zielperson unbemerkt in ein anderes Konto einzuloggen. Dadurch seien etwa MitM-Angriffe auf der Sitzungsebene ausführbar.