SSH – Terrapin Angriffs-Szenario
am 18. Dezember haben Forscher herausgefunden, dass man das SSH-Protokoll schwächen kann. Es handelt sich um ein Protokoll zum Konsolenzugriff per Befehlszeile auf meist Linux-basierte Endgeräte wie Router, Firewalls und Server, vergleichbar mit Telnet. Die Verbindung (meist über Port 22) ist aber verschlüsselt. Zu beachten Das Szenario greift nur, wenn man eine spezielle ungewöhnliche Verschlüsselung einsetzt (SSH-Verbindungen, die mit Chacha20-Poly1305 oder Encrypt-then-MAC im CBC-Modus verschlüsselt sind) Wird das SSH Protokoll nur geschwächt, sprich ein potenzieller Angreifer ist nicht automatisch mit der Server-Konsole verbunden – er hat es nur leichter, eine man-in-the-middle Attacke zum Daten mitlesen zu versuchen. Das einzige Gerät im uns bekannten Umfeld, das theoretisch SSH zum Internet publizieren könnte, wäre die Barracuda Firewall. Da die Remotezugriffe aber soweit ich weiß – wie die VPNs – über das TINA Protokoll erfolgen, ist Port 22 dort nicht aus dem Internet erreichbar. Selbst bei der alten w.safe (seit Jahren nicht mehr als Firewall in Betrieb) konnte man nur innerhalb eines VPNs per SSH auf die Linux Konsole zugreifen. Unsere Shop-Frontends sind nicht von dem Szenario betroffen. Wenn Kunden ihre Synology NAS oder eigene Linux Server oder Drittanbieter-Firewalls betreiben und Port 22 zum Internet freischalten in Ihrer Drittanbieter-Firewall, geschieht das auf eigenes Risiko. Wir raten ausdrücklich davon ab. Internet-Auftritte (die Linux-Server, auf denen Apache, NGinix und MariaDB laufen) müssten bei den führenden Providern entweder gar nicht über Port 22 erreichbar oder ausreichend geschützt sein. Das liegt in der Betriebsverantwortung von gehosteten Shared-Servern. Client-Software aktualisieren Zu SSH-Programmen gehören auch die Client-Anwendungen. Nur wenn…
am 18. Dezember haben Forscher herausgefunden, dass man das SSH-Protokoll schwächen kann. Es handelt sich um ein Protokoll zum Konsolenzugriff per Befehlszeile auf meist Linux-basierte Endgeräte wie Router, Firewalls und Server, vergleichbar mit Telnet. Die Verbindung (meist über Port 22) ist aber verschlüsselt. Zu beachten Das Szenario greift nur, wenn man eine spezielle ungewöhnliche Verschlüsselung einsetzt (SSH-Verbindungen, die mit Chacha20-Poly1305 oder Encrypt-then-MAC im CBC-Modus verschlüsselt sind) Wird das SSH Protokoll nur geschwächt, sprich ein potenzieller Angreifer ist nicht automatisch mit der Server-Konsole verbunden – er hat es nur leichter, eine man-in-the-middle Attacke zum Daten mitlesen zu versuchen. Das einzige Gerät im uns bekannten Umfeld, das theoretisch SSH zum Internet publizieren könnte, wäre die Barracuda Firewall. Da die Remotezugriffe aber soweit ich weiß – wie die VPNs – über das TINA Protokoll erfolgen, ist Port 22 dort nicht aus dem Internet erreichbar. Selbst bei der alten w.safe (seit Jahren nicht mehr als Firewall in Betrieb) konnte man nur innerhalb eines VPNs per SSH auf die Linux Konsole zugreifen. Unsere Shop-Frontends sind nicht von dem Szenario betroffen. Wenn Kunden ihre Synology NAS oder eigene Linux Server oder Drittanbieter-Firewalls betreiben und Port 22 zum Internet freischalten in Ihrer Drittanbieter-Firewall, geschieht das auf eigenes Risiko. Wir raten ausdrücklich davon ab. Internet-Auftritte (die Linux-Server, auf denen Apache, NGinix und MariaDB laufen) müssten bei den führenden Providern entweder gar nicht über Port 22 erreichbar oder ausreichend geschützt sein. Das liegt in der Betriebsverantwortung von gehosteten Shared-Servern. Client-Software aktualisieren Zu SSH-Programmen gehören auch die Client-Anwendungen. Nur wenn…