เมนู

Server SSH เกือบ 11 ล้านเครื่องมีความเสี่ยงต่อการโจมตี
Terrapin Attack จำนวนนี้มี IP ประเทศไทยอยู่ด้วย

8 มกราคม 2567 | ตนุภัทร พยัคฆพันธ์

Server SSH เกือบ 11 ล้านเครื่องมีความเสี่ยงต่อการโจมตี Terrapin Attack จำนวนนี้มี IP ประเทศไทยรวมอยู่ด้วย

Shadowserver เตือน Server SSH เกือบ 11 ล้านเครื่องทั่วโลก เสี่ยงต่อการถูกโจมตี

Shadowserver เตือนพบภัยการคุกคามความปลอดภัย บน Server SSH เกือบ 11 ล้านเครื่องทั่วโลก บนเว็บสาธารณะซึ่งระบุด้วยที่อยู่ IP ที่ไม่ซ้ํากันซึ่งเสี่ยงต่อการถูกโจมตี Terrapin attack (CVE-2023-48795) ในจำนวนนี้มีประเทศไทย (330,000) ซึ่งวิธีการโจมตีนี้ส่งผลต่อช่องทางการเชื่อมต่อ SSH บางโหมด (ChaCha20-Poly1305 หรือ CBC ร่วมกับ Encrypt-then-MAC) และสามารถปิดการป้องกันด้วยการโจมตีแบบ keystroke timing ของ OpenSSH 9.5 เพื่อลดระดับความปลอดภัยลงได้ (downgrade attack) โดยต้องอาศัยการโจมตีแบบ man-in-the-middle attack (MitM)  ได้อีกด้วย โดยวิธีการโจมตี Terrapin attack นี้อาศัยการสังเกตเวลาการตอบสนองของเซิร์ฟเวอร์ SSH ด้วยการถอดรหัสคีย์ในการเข้ารหัส โดยจะใช้การวิเคราะห์ความแปรผันของเวลาและตอบสนองเพื่อใช้ในการคำนวณคีย์เพื่อเข้ารหัส

SSH CVE-2023-48795 (Terrapin attack) vulnerable instances found in our IPv4/IPv6 scans in our Accessible SSH report

ภาพประกอบอ้างอิงจาก : Shadowserver

การวิเคราะห์ช่องโหว่

พบว่าช่องโหว่ CVE-2023-48795 (CVSS:3.1 Base Score: 5.9 MEDIUM) การประเมินระดับความรุนแรง serverity เป็นระดับ medium ซึ่งการโจมตีนั้นจะสำเร็จได้ก็ต่อเมื่อมีการใช้งาน SSH ทั้งหมดที่รองรับการเข้ารหัสแบบ ChaCha20-Poly1305 หรือ CBC ร่วมกับ Encrypt-then-MAC และต้องอาศัยการโจมตีแบบ man-in-the-middle attack (MitM) ซึ่งอาจมีความเป็นไปได้ เนื่องจากในปัจจุบันการ ซึ่งในแต่ละองค์กรควรมีการจำกัดการเข้าถึง (Limited access) ในการใช้งาน ssh ทั้งภายในและภายนอกองค์กร มีการทบทวน process การใช้ port 22, การทำ hardening ตั้งแต่ Server และ อุปกรณ์ network security (Firewall,IPS/IDS)

ระบบหรือผลิตภัณฑ์ที่ได้รับผลกระทบ

การใช้งาน client และ Server SSH จํานวนมากได้รับผลกระทบเช่น

  1. OpenSSH V.9.5 / 9.5p1 หรือ V.ก่อนหน้า
  2. paramiko V.3.3.1 หรือ V.ก่อนหน้า
  3. PuTTY V.0.79 หรือ V.ก่อนหน้า
  4. WinSCP V.6.1.2 หรือ V.ก่อนหน้า
  5. SFTP Gateway V.3.4.5 หรือ V.ก่อนหน้า
  6. ProFTPD V.1.3.8a หรือ V.ก่อนหน้า
  7. FileZilla V.3.66.1 หรือ V.ก่อนหน้า และอื่น ๆ

ข้อแนะนำหรือแนวทางแก้ไข

  1. อัปเดตซอฟต์แวร์ SSH เป็นเวอร์ชันล่าสุด (เวอร์ชันใหม่ล่าสุด OpenSSH 9.6 ขึ้นไปได้รับการแก้ไขปัญหานี้แล้ว)
  2. การทบทวน process การใช้ port 22 ซึ่งในแต่ละองค์กรควรมีการจำกัดการเข้าถึง (Limited access) ในการใช้งาน ssh ทั้งภายในและภายนอก
  3. ใช้รหัสผ่านที่แข็งแกร่งสำหรับบัญชีผู้ใช้ SSH
  4. เปิดใช้งานการตรวจสอบสิทธิ์แบบสองปัจจัย (2FA)
  5. ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ SSH ของคุณใช้การเข้ารหัสที่ปลอดภัย
  6. กรองการรับส่งข้อมูล SSH ของคุณเพื่อบล็อกการโจมตีที่อาจเกิดขึ้น

อ้างอิง