您所在的位置: 首頁 >
新聞資訊 >
威脅情報(bào) >
全球超1100萬SSH服務(wù)器面臨“水龜攻擊”威脅
水龜攻擊(TerrapinAttack)
安全威脅監(jiān)控平臺Shadowserver最近的一份研究報(bào)告表明,互聯(lián)網(wǎng)上有近1100萬臺SSH服務(wù)器很容易受到水龜攻擊(TerrapinAttack)?!八敼簟笔堑聡欞敔柎髮W(xué)安全研究人員開發(fā)的新攻擊技術(shù),一旦攻擊成功,攻擊者可以破壞管理員通過SSH會話建立的安全連接,導(dǎo)致計(jì)算機(jī)、云和其他敏感環(huán)境受到損害。
Terrapin漏洞是在兩周前的一篇學(xué)術(shù)研究論文中被曝光的,被追蹤為CVE-2023-48795。攻擊者可以利用中間人攻擊(MitM)來進(jìn)行這種攻擊,即在同一本地網(wǎng)絡(luò)上重新定位,秘密攔截通信并冒充接收者和發(fā)送者的身份。Terrapin允許攻擊者在SSH連接的早期階段更改或破壞傳輸?shù)男畔?,這些信息用于建立安全連接的加密參數(shù)。這是針對SSH協(xié)議自身完整性的第一個(gè)實(shí)用加密攻擊。這種攻擊基于Binary Packet Protocol(BPP),該協(xié)議旨在防止中間人在握手期間添加或刪除消息。目前,77%的SSH服務(wù)器中使用的密碼模式都發(fā)現(xiàn)了這種前綴截?cái)喙簟?/span>
根據(jù)最近一次全球互聯(lián)網(wǎng)掃描的數(shù)據(jù)顯示,超過1100萬個(gè)暴露的SSH服務(wù)器IP地址仍然容易受到Terrapin攻擊。其中近三分之一(330萬個(gè))位于美國,其次是俄羅斯、德國和新加坡等國。Shadowserver跟蹤的所有未修補(bǔ)的實(shí)現(xiàn)都支持必需的密碼模式。
CVE-2023-48795 的樹形圖
只有53個(gè)易受攻擊的實(shí)例依賴于AsyncSSH的實(shí)現(xiàn),這是目前唯一嚴(yán)重受到Terrapin影響的應(yīng)用程序。研究人員在AsyncSSH中發(fā)現(xiàn)了兩個(gè)漏洞,允許Terrapin攻擊通過替換服務(wù)器發(fā)送的擴(kuò)展信息消息來降級組織的安全擴(kuò)展,使攻擊者能夠控制其內(nèi)容,或者通過遠(yuǎn)程注入或刪除數(shù)據(jù)包或模擬建立外殼來控制SSH客戶端會話。除了影響SSH協(xié)議的Terrapin漏洞CVE-2023-48795外,AsyncSSH還修復(fù)了這兩個(gè)漏洞(編號為CVE-2023-46445和CVE-2023-46446)。目前,大多數(shù)AsyncSSH用戶已經(jīng)安裝了補(bǔ)丁。
未針對 CVE-2023-48795 修補(bǔ)的國家/地區(qū)的世界地圖
雖然對于MitM攻擊的要求以及Terrapin可能造成的實(shí)際攻擊缺乏具體信息,但這些因素被認(rèn)為是重要的緩解因素。一些批評者認(rèn)為這些因素在一些新聞報(bào)道中被忽略了??偟膩碚f,在目前階段,幾乎沒有理由不修補(bǔ)協(xié)議缺陷,因?yàn)檠a(bǔ)丁已經(jīng)在一到兩周前廣泛使用。
Shadowserver的研究員表示:“這種攻擊需要相當(dāng)復(fù)雜的條件,因?yàn)镸itM是必需的,所以我們認(rèn)為實(shí)際應(yīng)用會比較有限?!? “我們不太可能看到大規(guī)模利用的情況。盡管如此,大量實(shí)例表明,在某些特定情況下,這種漏洞仍具有強(qiáng)大的破壞力,并且在未來幾年中可能持續(xù)存在。