Comprendre l’attaque des terrapins
L’attaque Terrapin, également connue sous le nom de CVE-2023-48795, est une menace potentielle pour la sécurité des connexions SSH. Elle consiste à tronquer le message de négociation d’extension (conformément à la RFC8308) échangé entre le client et le serveur. Cela peut potentiellement compromettre la sécurité de votre connexion, mais pas dans tous les cas.
Voici une analyse approfondie.
Quels sont les clients/serveurs vulnérables ?
Presque toutes les implémentations sont sensibles à cette attaque, sauf celles qui ont mis en place un correctif spécifique.
Tous mes serveurs SSH sont-ils exposés au risque d’une attaque Terrapin ?
Pas nécessairement, ou si c’est le cas, seulement dans une mesure très limitée. Les attaques possibles et leurs exigences sont examinées dans les sections suivantes.
Quels types d’attaques peuvent être exécutés ?
Il existe trois types d’attaques Terrapin :
1. Exploitation d’une vulnérabilité présente dans le serveur AsyncSSH.
2. Désactiver les contre-mesures de synchronisation des frappes mises en œuvre par tout serveur. Cependant, de nombreux serveurs ne mettent pas en œuvre ces mesures en raison de leur complexité et du faible taux de réussite de l’exploitation, en particulier lorsque des mots de passe forts sont utilisés.
3. Forcer l’utilisation de certains algorithmes faibles, principalement SHA-1, sur n’importe quel serveur. Bien que SHA-1 soit considéré comme faible, il n’est pas vulnérable lorsqu’il est utilisé dans le cadre du protocole SSH, et le risque pour la sécurité est donc extrêmement limité.
Que faut-il pour exécuter une attaque Terrapin ?
L’attaque Terrapin nécessite une attaque de type « man-in-the-middle », c’est-à-dire que l’attaquant doit avoir accès au réseau local du client ou du serveur. Un client qui se connecte à un réseau Wi-Fi non autorisé dans un lieu public suffit. Si un serveur n’est accessible qu’en SSH depuis le réseau de l’entreprise ou un VPN, l’attaque ne peut être réalisée que par un initié.
Comment puis-je protéger mon serveur SSH contre l’attaque Terrapin ?
Voici quelques solutions :
1. Mettez à jour vos clients et vos serveurs pour qu’ils prennent en charge l' »échange de clés strict ». La plupart des serveurs, en particulier ceux qui sont intégrés dans une distribution Linux, ne prennent actuellement pas en charge cette extension de protocole. Le client et le serveur doivent tous deux prendre en charge cette extension pour être sûrs.
2. Désactivez tous les algorithmes faibles sur votre serveur. Ainsi, même si l’attaque Terrapin réussit, elle ne sera pas en mesure d’affaiblir votre sécurité.
3. Appliquez des mots de passe forts ou une authentification par clé. Cela bloque l’exploitation de l’attaque Terrapin.
4. Désactivez les algorithmes qui rendent possible l’attaque Terrapin : ChaCha20-Poly1305 et CBC-Encrypt-then-MAC. Conservez plutôt les algorithmes les plus puissants : aes256-gcm et hmac-sha2-512.
5. Restreignez l’accès SSH à partir d’Internet. En imposant une connexion VPN avant d’atteindre votre serveur, vous bloquez toutes les attaques provenant du monde extérieur ; seul un initié peut effectuer l’attaque.
Mettez en œuvre ces meilleures pratiques générales pour améliorer la sécurité, indépendamment de l’attaque Terrapin, à l’exception de la première recommandation.
Lignes directrices sur le durcissement
La possibilité d’activer ou de désactiver des algorithmes dépend intrinsèquement du produit. Dans le cadre de cette discussion, nous nous concentrerons sur Linux, étant donné son utilisation répandue.
Il existe généralement deux méthodes pour configurer les algorithmes cryptographiques : via le service sshd ou via des stratégies au niveau du système. Chaque méthode présente ses propres avantages.
Configuration sshd (/etc/ssh/sshd_config) :
– Cette approche est universelle et applicable à toutes les plateformes.
– Il exige la spécification des algorithmes autorisés ; il ne permet pas de désactiver des algorithmes spécifiques.
Politiques cryptographiques du système :
– Toutes les plateformes ne proposent pas cette fonctionnalité.
– Il permet d’activer et de désactiver des algorithmes.
– Cette fonction permet de gérer les paramètres exclusivement pour SSH ou globalement pour tous les protocoles, par exemple en désactivant SHA-1 pour tous les protocoles.
– Il sert de plaque tournante centralisée pour la gestion de toutes vos politiques cryptographiques.
– Les politiques sont divisées en plusieurs fichiers, ce qui facilite un déploiement facile et flexible.
– Note : Sur certaines plateformes, les politiques peuvent ne pas être en mesure de gérer les codes internes d’OpenSSH ; dans ce cas, il est nécessaire de s’appuyer sur la configuration de sshd.
Il est possible d’intégrer les deux options, par exemple en désactivant tous les algorithmes faibles dans les politiques et en établissant une liste blanche des algorithmes autorisés dans la configuration de sshd.
Enfin, pour vérifier l’impact de vos changements, utilisez la commande suivante : `ssh -vv 127.0.0.1`. Le résultat de tous les algorithmes acceptés sera affiché sur les lignes « debug2 : ciphers stoc : » & « debug2 : MACs stoc : ».
Vous voulez rester au courant des dernières menaces ? Abonnez-vous à notre lettre d’information SOC.
Consultez notre site web.
