8 มกราคม 2567 | ตนุภัทร พยัคฆพันธ์
Shadowserver เตือนพบภัยการคุกคามความปลอดภัย บน Server SSH เกือบ 11 ล้านเครื่องทั่วโลก บนเว็บสาธารณะซึ่งระบุด้วยที่อยู่ IP ที่ไม่ซ้ํากันซึ่งเสี่ยงต่อการถูกโจมตี Terrapin attack (CVE-2023-48795) ในจำนวนนี้มีประเทศไทย (330,000) ซึ่งวิธีการโจมตีนี้ส่งผลต่อช่องทางการเชื่อมต่อ SSH บางโหมด (ChaCha20-Poly1305 หรือ CBC ร่วมกับ Encrypt-then-MAC) และสามารถปิดการป้องกันด้วยการโจมตีแบบ keystroke timing ของ OpenSSH 9.5 เพื่อลดระดับความปลอดภัยลงได้ (downgrade attack) โดยต้องอาศัยการโจมตีแบบ man-in-the-middle attack (MitM) ได้อีกด้วย โดยวิธีการโจมตี Terrapin attack นี้อาศัยการสังเกตเวลาการตอบสนองของเซิร์ฟเวอร์ SSH ด้วยการถอดรหัสคีย์ในการเข้ารหัส โดยจะใช้การวิเคราะห์ความแปรผันของเวลาและตอบสนองเพื่อใช้ในการคำนวณคีย์เพื่อเข้ารหัส
ภาพประกอบอ้างอิงจาก : Shadowserver
พบว่าช่องโหว่ CVE-2023-48795 (CVSS:3.1 Base Score: 5.9 MEDIUM) การประเมินระดับความรุนแรง serverity เป็นระดับ medium ซึ่งการโจมตีนั้นจะสำเร็จได้ก็ต่อเมื่อมีการใช้งาน SSH ทั้งหมดที่รองรับการเข้ารหัสแบบ ChaCha20-Poly1305 หรือ CBC ร่วมกับ Encrypt-then-MAC และต้องอาศัยการโจมตีแบบ man-in-the-middle attack (MitM) ซึ่งอาจมีความเป็นไปได้ เนื่องจากในปัจจุบันการ ซึ่งในแต่ละองค์กรควรมีการจำกัดการเข้าถึง (Limited access) ในการใช้งาน ssh ทั้งภายในและภายนอกองค์กร มีการทบทวน process การใช้ port 22, การทำ hardening ตั้งแต่ Server และ อุปกรณ์ network security (Firewall,IPS/IDS)
การใช้งาน client และ Server SSH จํานวนมากได้รับผลกระทบเช่น
เกี่ยวกับไซเบอร์ตรอน
ผู้ให้บริการ #CyberResilience ศูนย์เฝ้าระวังภัยคุกคามด้านความมั่นคงปลอดภัยไซเบอร์รูปแบบใหม่ พร้อมโซลูชั่นเพื่อการพัฒนาความสามารถด้วยแพลตฟอร์มการจำลองยุทธ์ด้านความมั่นคงปลอดภัยไซเบอร์ อีกทั้งยังเป็นผู้นำการให้บริการนวัตกรรมด้านความมั่นคงปลอดภัยไซเบอร์ที่ล้ำสมัยในระดับสากล
บริการของเรา