Tu servidor SSH es vulnerable a este ataque, actualiza cuanto antes para no tener problemas
Uno de los estándares más importantes de Internet es SSH. Sirve para tener acceso a servicios de forma remota y poder transferir archivos. En este artículo, nos hacemos eco de una importante vulnerabilidad que han detectado. Te vamos a explicar en qué consiste y de qué manera puede afectarte. Puede afectar a muchos equipos conectados a la red. Un grupo de investigadores de seguridad está detrás de este descubrimiento.
Al ataque que permite explotar este fallo de SSH lo han denominado Terrapin. Lo que hace concretamente es romper la integridad del canal seguro de SSH. Un atacante que explote este error, podría eliminar mensajes enviados por el cliente o servidor, de forma arbitraria. Además, no notarían que esto ocurre.
Vulnerabilidad en SSH
Básicamente, el problema permite que un atacante Man in The Middle pueda borrar ciertos mensajes de esa conexión segura. Los investigadores de seguridad han descubierto que SSH no autentica todo el protocolo de enlace, sino únicamente algunas partes. Esto podría provocar que ese atacante elimine un mensaje del canal, al mismo tiempo que incluye otro. El investigador de seguridad Fabian Bäumer, informa de todo esto en su cuenta de Twitter.
Este ataque se puede explotar al permitir que un atacante rompa la seguridad de la conexión al truncar el mensaje de negociación RFC8308 de la transcripción. Esto es lo que permitiría usar algoritmos de autenticación de clientes que no son seguros y llegar a desactivar medidas contra ataques en OpenSSH 9.5. Las vulnerabilidades han sido registradas como CVE-2023-48795, CVE-2023-46445 y CVE-2023-46446.
Además, también han demostrado que el ataque Terrapin se puede usar para explotar fallos de implementación. Un ejemplo, es que podrían aprovecharse de vulnerabilidades en AsyncSSH. Esto último podría permitir que un atacante iniciara sesión en otra cuenta del cliente. La víctima no se daría cuenta de ello, lo que agrava más la situación.
Esto que mencionamos, podría permitir el uso de ataques Phishing para robar contraseñas, así como permitir que ese atacante, a través de técnicas Man in The Middle, pudiera interceptar todo lo que se realiza dentro de una sesión cifrada.
Según explican los investigadores de seguridad detrás de este descubrimiento, de cara a realizar este ataque Terrapin, los atacantes van a necesitar capacidades MitM en la capa de red. Necesita poder interceptar y modificar el tráfico de esa conexión. Además, aunque la conexión debe estar protegida por ChaCha20-Poly1305 o CBC con Encrypt-then-MAC, han demostrado que podría aplicarse a la mayoría de sesiones SSH.
Solución
Como suele ocurrir con este tipo de fallos de seguridad, es importante instalar los parches tan pronto como estén disponibles. Esas actualizaciones van a ayudar a solventar errores de este tipo. Sin embargo, los investigadores indican que, en caso de que esos parches tarden en llegar, lo que puedes hacer es deshabilitar temporalmente el cifrado chacha20-poly1305@openssh.com afectado y los algoritmos MAC -etm@openssh.com en la configuración del servidor SSH. En su lugar, puedes utilizar algoritmos que no se hayan visto afectados.
Ten en cuenta que la mayoría de servidores y clientes SSH pueden estar afectados. Concretamente, si tus implementaciones SSH admiten cifrado chacha20-poly1305@openssh.com, así como cualquier algoritmo de cifrado con el sufijo -cbc en combinación con cualquier algoritmo MAC con el sufijo -etm@openssh.com, pueden ser vulnerables a Terrapin.
Puedes comprobar si tu cliente o servidor SSH es vulnerable a través de este link que proporcionan los investigadores de seguridad detrás del descubrimiento de Terrapin.
El artículo Tu servidor SSH es vulnerable a este ataque, actualiza cuanto antes para no tener problemas se publicó en RedesZone.
Powered by WPeMatico
