Segundo um relatório da plataforma de monitoramento de ameaças Shadowserver, milhões de servidores SSH estão vulneráveis a ataques Terrapin.
O ataque Terrapin tem como alvo o protocolo SSH, afetando clientes e servidores, e foi desenvolvido por pesquisadores acadêmicos da Ruhr University Bochum, na Alemanha.
Ele manipula números de sequência durante o processo de handshake para comprometer a integridade do canal SSH, especialmente quando modos de criptografia específicos como ChaCha20-Poly1305 ou CBC com Encrypt-then-MAC são usados.
Um invasor poderia, portanto, fazer o downgrade dos algoritmos de chave pública para autenticação do usuário e desabilitar as defesas contra ataques de temporização de pressionamento de tecla no OpenSSH 9.5.
Um requisito notável para o ataque Terrapin é a necessidade de os invasores estarem em uma posição de adversário intermediário (AitM) para interceptar e modificar a troca de handshake.
É importante notar que os agentes de ameaças muitas vezes comprometem redes de interesse e aguardam o momento certo para prosseguir com o ataque.
Agora, quase 11 milhões de servidores SSH expostos à Internet estão vulneráveis ao ataque Terrapin, que ameaça a integridade de algumas conexões SSH.
Milhões de servidores SSH estão vulneráveis a ataques Terrapin
Um relatório recente da plataforma de monitoramento de ameaças à segurança Shadowserver alerta que existem quase 11 milhões de servidores SSH na web pública – identificados por endereços IP exclusivos, que são vulneráveis a ataques Terrapin.
Isto constitui cerca de 52% de todas as amostras digitalizadas no espaço IPv4 e IPv6 monitorado pelo Shadoserver.
A maioria dos sistemas vulneráveis foi identificada nos Estados Unidos (3,3 milhões), seguidos pela China (1,3 milhões), Alemanha (1 milhão), Rússia (700.000), Singapura (390.000) e Japão (380.000).
A importância do relatório do Shadowserver reside em destacar que os ataques de tartarugas marinhas podem ter um impacto generalizado.
Embora nem todas as 11 milhões de instâncias corram risco imediato de serem atacadas, isso mostra que os adversários têm um grande leque de opções para escolher.
Se você deseja verificar a suscetibilidade de um cliente ou servidor SSH ao Terrapin, a equipe da Ruhr University Bochum fornece um scanner de vulnerabilidade.