Il mondo della cyber security è in allerta a causa di una recente scoperta fatta dai ricercatori dell’Università Ruhr di Bochum: una nuova vulnerabilità preoccupante battezzata come Terrapin (CVE-2023-48795) che insidia la sicurezza del noto protocollo SSH (Secure Shell). L’attacco Terrapin, identificato con un punteggio CVSS di 5.9, ha la potenzialità di compromettere seriamente l’integrità di connessioni di rete ritenute sicure, permettendo la diminuzione delle misure di protezione implementate dal protocollo.
Il protocollo SSH è comunemente noto per garantire la privacy e l’integrità delle connessioni di rete, permettendo l’accesso remoto sicuro e l’esecuzione di comandi su server. Tuttavia, l’ingegnoso attacco Terrapin sfrutta una manipolazione dei numeri di sequenza durante il meccanismo di handshake, permettendo di escludere una quantità arbitraria di messaggi iniziali scambiati senza che il client o il server ne siano al corrente.
L’attacco si realizza durante la fase di negoziazione dell’handshake, diventando effettivo se la connessione viene criptata utilizzando algoritmi come ChaCha20-Poly1305 o CBC con Encrypt-then-MAC. Le conseguenze di questo attacco potrebbero essere estremamente serie, permettendo agli aggressori di intercettare dati sensibili o di ottenere il controllo di sistemi critici sfruttando accessi amministrativi.
Per effettuare l’attacco Terrapin, il malintenzionato deve essere in grado di eseguire un attacco Man-in-the-Middle (MitM) sul livello di rete. Inoltre, è necessario intercettare messaggi durante la fase di creazione della connessione sicura, con l’obiettivo di deteriorare l’utilizzo di algoritmi di autenticazione client e disattivare contromisure specifiche contro attacchi di timing sulla pressione dei tasti in OpenSSH 9.5.
Il team di ricerca ha pubblicato un documento tecnico dettagliato dal titolo “Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation”, dove viene spiegato il funzionamento dell’attacco. Inoltre, è stata rilasciata un’applicazione console su GitHub, scritta in Go, che consente di verificare se un server o client SSH è vulnerabile a Terrapin.
È fondamentale che gli amministratori di sistema e gli esperti di sicurezza informatica prestino grande attenzione a questa recente scoperta e implementino le correzioni e le misure di mitigazione necessarie, per proteggere le reti e i dati aziendali da possibili compromissioni. L’allarme sollevato dai ricercatori enfatizza una volta di più la necessità di una vigilanza costante nel campo della sicurezza informatica.