Ataque tem como alvo o protocolo Secure Socket Shell, afetando clientes e servidores, e foi desenvolvido por pesquisadores acadêmicos da Ruhr University Bochum, na Alemanha
Cerca de 11 milhões de servidores SSH (Secure Socket Shell) expostos à internet estão vulneráveis ao ataque Terrapin. O ataque tem como alvo o protocolo SSH, afetando clientes e servidores, e foi desenvolvido por pesquisadores acadêmicos da Ruhr University Bochum, na Alemanha. Ele manipula números de sequência durante o processo de handshake (processo pelo qual duas ou mais máquinas reconhecem umas às outras e estão prontas para iniciar a comunicação) para comprometer a integridade do canal SSH, especialmente quando modos de criptografia específicos como ChaCha20-Poly1305 ou CBC com Encrypt-then-MAC são usados.
Um invasor poderia, portanto, fazer o downgrade dos algoritmos de chave pública para autenticação do usuário e desabilitar as defesas contra ataques de temporização de pressionamento de tecla no OpenSSH 9.5. Para o ataque ser bem-sucedido, no entanto, é necessário de os invasores estarem em uma posição de intermediário ou man-in-the-middle — ou adversary-in-the-middle (AiTM), como também são conhecidos —, técnica de ciberataque em que o criminoso age como um intermediário entre a vítima e um site de banco ou mesmo outros usuários, por exemplo.
O alerta sobre o risco dos servidores SSH consta em um relatório recente da plataforma de monitoramento de ameaças à segurança Shadowserver, que, segundo a qual, existem quase 11 milhões de servidores SSH na web pública — identificados por endereços IP exclusivos, que são vulneráveis a ataques Terrapin. Isso constitui cerca de 52% de todas as amostras digitalizadas no espaço IPv4 e IPv6 monitorado pelo Shadoserver.
A maioria dos sistemas vulneráveis foi identificada nos Estados Unidos (3,3 milhões), seguidos pela China (1,3 milhão), Alemanha (1 milhão), Rússia (700 mil), Cingapura (390 mil) e Japão (380 mil). Mas pode haver mais em outros países.
Fonte: Ciso Advisor
