Quase 11 milhões de servidores SSH expostos na internet são vulneráveis ao ataque Terrapin que ameaça a integridade de algumas conexões SSH.
O ataque Terrapin tem como alvo o protocolo SSH, afetando tanto clientes quanto servidores, e foi desenvolvido por pesquisadores acadêmicos da Universidade Ruhr de Bochum, na Alemanha.
Ele manipula números de sequência durante o processo de handshake para comprometer a integridade do canal SSH, particularmente quando modos de criptografia específicos como ChaCha20-Poly1305 ou CBC com Encrypt-then-MAC são utilizados.
Um invasor poderia, assim, rebaixar os algoritmos de chave pública para autenticação de usuário e desabilitar defesas contra ataques de tempo de digitação no OpenSSH 9.5.
Um requisito notável para o ataque Terrapin é a necessidade de os atacantes estarem em uma posição de adversário no meio (AitM) para interceptar e modificar a troca de handshake.
Vale a pena notar que os atores de ameaça muitas vezes comprometem redes de interesse e esperam o momento certo para avançar seu ataque.
Um relatório recente da plataforma de monitoramento de ameaças de segurança Shadowserver adverte que há quase 11 milhões de servidores SSH na web pública - identificados por endereços IP únicos, que são vulneráveis a ataques Terrapin.
Isso constitui aproximadamente 52% de todas as amostras verificadas no espaço IPv4 e IPv6 monitorado pela Shadowserver.
A maioria dos sistemas vulneráveis foi identificada nos Estados Unidos (3,3 milhões), seguido por China (1,3 milhão), Alemanha (1 milhão), Rússia (700.000), Singapura (390.000) e Japão (380.000).
A importância do relatório da Shadowserver reside em destacar que os ataques Terrapin podem ter um impacto generalizado.
Embora nem todas as 11 milhões de instâncias estejam em risco imediato de serem atacadas, isso mostra que os adversários têm uma grande quantidade para escolher.
Se você quiser verificar um cliente ou servidor SSH para sua suscetibilidade ao Terrapin, a equipe da Universidade Ruhr de Bochum fornece um scanner de vulnerabilidade.
Publicidade
O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...