Quase 11 milhões de servidores SSH estão vulneráveis a novos ataques Terrapin

Quase 11 milhões de servidores SSH por todo o mundo estão vulneráveis a novos ataques Terrapin, de acordo com a Shadowserver, sendo que os cibercriminosos podem fazer o downgrade de uma versão do protocolo SSH, tornando-a vulnerável à exploração. Este ataque pode ser ainda utilizado para redirecionar as vítimas para um shell controlado pelo invasor.

O ataque Terrapin é um tipo de ataque de truncamento de prefixo através do qual os pacotes criptografados iniciais enviados através do canal SSH seguro podem ser excluídos sem que o servidor ou o cliente se apercebam.

Segundo a Cyber Security News, existem duas causas principais para esta falha: as mensagens opcionais permitidas no handshake SSH, que não requerem autenticação; e o facto de o handshake SSH não redefinir os números de sequência das mensagens quando a criptografia está habilitada.

A investigação da Shadowserver baseou-se em consultas de pesquisa que contêm “ssh”, “ssh6” e “CVE-2023-48795” com datas atuais. Estes servidores incluem também servidores SSH IPv4 e IPv6. Em particular, o CVE recebeu uma classificação de gravidade de 5,9 (Média), segundo o estudo.

Apesar de não terem sido confirmadas evidências de exploração, a Shadowserver acredita que existem muitos servidores em cada país que poderão ser explorados através deste tipo de ataque. Os Estados Unidos lideram a lista com mais de 3,3 milhões de servidores vulneráveis, seguidos pela China com 1,3 milhões de servidores. Já a Alemanha possui 1 milhão de servidores vulneráveis, enquanto a Rússia tem 700 mil.

Posteriormente, Singapura, Japão, França, Reino Unido e Holanda possuem cerca de 350 mil a 400 mil servidores SSH vulneráveis. Por sua vez, Hong Kong, Canadá e Índia têm aproximadamente 200 mil e 300 mil servidores vulneráveis.