Shadowserver威胁监控平台发布了一份关于使用易受CVE-2023-48795漏洞的SSH实例的主机数量的报告,这种漏洞通常被称为Terrapin攻击。 这种攻击方法是一种中间人(MiTM)攻击,会破坏SSH安全通道的完整性。SSH扩展协商(RFC 8308)发现可以完全被破解,这将允许攻击者在SSH通道的开始部分删除特定的加密数德国鲁尔大学的一组研究人员在2023年12月首次公开披露了Terrapin漏洞,并估计全球有1100万台SSH服务器存在这个漏洞。据包,而服务器没有察觉。这意味着SSH二进制数据包协议不再是一个安全通道。
报告还根据地区详述了易受攻击的服务器的数量,结果显示美国有超过310万易受攻击的独特IP地址。其他易受攻击服务器数量较多的国家包括中国(130万)、德国(100万)和俄罗斯(66万)。
Terrapin攻击的风险有多严重?
易受攻击的SSH服务器数量是还不少,在针对易受攻击的加密模式的互联网广泛扫描中,鲁尔大学的研究人员发现77%的SSH服务器支持可被攻击的加密模式,其中57%将其列为首选。
Iomart网络安全负责人马修·道森(Matthew Dowson)说,如果在接下来的几个月里不解决这个漏洞,可能会有近400万台服务器被攻陷。
“如果这1100万易受Terrapin攻击的SSH服务器暴露在互联网上,那么在接下来的几个月里,可能会有超过380万SSH服务器被攻陷。”
道森还警告说,中间人攻击可能导致更长远的、更复杂的网络攻击。
“中间人攻击通常被用作针对公司持续性威胁行动的初始入口点或据点,” “获取诸如用户凭证等物品的攻击,然后可以进一步访问企业网络中的众多资产。随之而来的是数据外泄、生产环境受到干扰,甚至攻击者可以控制整个IT基础设施的大部分。”
如何保护服务器?
道森建议了解识别中间人攻击的检测方法,包括观察是否有变慢或断开的服务,部署数据包检查和端点检测工具。 波鸿鲁尔大学团队日前发布了一个漏洞扫描器(https://github.com/RUB-NDS/Terrapin-Scanner)。应根据这些发现的漏洞进行自己的风险评估。 为了保护服务器,客户端和服务器都需要打补丁。
新发现的带CVE-2023-48795漏洞漏洞的服务器数量还不少,如果你公司的服务器也存在这个漏洞,那需要考虑对服务器进行安全修复。