Neredeyse her gün yeni güvenlik açıkları ortaya çıkıyor ve bir sonraki kötü olay gelmeden önce kısa bir süreliğine de olsa kamuoyunun dikkatini çekiyor. Bu sefer Terrapin güvenlik açığı ön plana çıkıyor.
SSH protokolündeki bu güvenlik açığı şu şekilde tanımlanır: CVE-2023-48795OpenSSH’de belirli yapılandırmaları kullanan tüm SSH bağlantılarını etkileyen bir güvenlik açığıdır. Secure Shell (SSH), güvenli uzaktan oturum açma, komut yürütme ve İnternet gibi güvenli olmayan ağlar üzerinden dosya aktarımı gibi sistemler arasında güvenli iletişim için kullanılan bir ağ protokolüdür. SSH, güçlü kimlik doğrulama ve şifreli veri iletişimi sağlayarak ağ iletişimlerinde güvenliği ve gizliliği sağlar.
Terrapin, ortadaki düşman (AitM) saldırganının SSH el sıkışma sürecine müdahale etmesine olanak tanır. El sıkışma, istemcinin bir TCP bağlantısı başlatmasıyla başlar ve ardından, aşağıda belirtildiği gibi bir protokol sürümü değişimi yapılır. RFC4253. Bu işlem sırasında bir saldırgan, SSH bağlantısını kesmeden santralin kritik kısımlarını kesmek için bu güvenlik açığından yararlanabilir ve hem SSH istemcisi hem de sunucusu için önemli bir güvenlik riski oluşturabilir.
Terrapin güvenlik açığı, bir saldırganın güvenli imza algoritmalarının düzeyini düşürmesine ve özellikle OpenSSH 9.5’te belirli güvenlik önlemlerini devre dışı bırakmasına olanak tanıyor. Saldırıya uğrayıp uğramadığınızı nasıl öğreneceğiniz, altta yatan güvenlik açığını nasıl düzelteceğiniz ve daha sonra nasıl temizleyeceğiniz aşağıda açıklanmıştır.
Tespit etme
1. SSH yapılandırmalarını inceleyin.
Komutu kullanın ssh -Q şifresi SSH istemciniz tarafından desteklenen tüm şifreleri listelemek için. Özellikle arayın [email protected] veya herhangi bir şifre bloğu zincirleme (CBC) modu şifresini kaldırın ve bunları kaldırın.
Ayrıca, SSH yapılandırma dosyalarınızda (sunucu için/etc/ssh/sshd_config, istemci için ~/.ssh/config veya /etc/ssh/ssh_config) aşağıdaki gibi satırlar olup olmadığını kontrol edin: Şifreler aes256-ctr,aes192-ctr,aes128-ctr ve bunları kaldırın.
2. SSH istemci ve sunucu sürüm kontrolünü gerçekleştirin.
Koşmak ssh-V müşterinizde ve sshd-V Sürümlerini kontrol etmek için sunucunuzda. OpenSSH 9.6p1’den eskiyseler savunmasız olabilirler.
bölümünde belirtilen konfigürasyonlara özellikle dikkat edin. CVE-2023-48795 raporu.
3. Özel güvenlik açığı tarayıcılarını kullanın.
Nessus veya OpenVAS gibi araçları kullanın SSH uygulamalarınızı tarayın. Bu araçlar, savunmasız SSH sürümlerini ve yapılandırmalarını otomatik olarak tespit edebilir.
Önleme
4. SSH trafiği için sürekli izlemeyi ayarlayın.
Olası AitM saldırılarını belirten olağandışı SSH trafik modellerini tespit etmek için izleme araçlarını uygulayın.
5. Güvenlik politikalarını SSH’nin en iyi uygulamalarıyla uyumlu hale getirin.
Güçlü, güncel şifreleme algoritmalarını kullanmak için SSH yapılandırmalarınızı düzenli olarak güncelleyin.
Gibi güçlü şifreler kullanın [email protected]ve kök girişini devre dışı bırakın (İzinKökGiriş no sshd_config’de).
Ayrıca, şifreleri değiştir ortak anahtar kimlik doğrulaması ile.
6. Düzenli SSH risk değerlendirmeleri ve uyumluluk kontrolleri yapın.
Yapılandırma zayıflıklarını ve güncel olmayan yazılımları belirlemek için OpenSCAP gibi açık kaynak araçlarını veya seçtiğiniz ticari çözümleri kullanarak kapsamlı SSH güvenlik denetimleri gerçekleştirin.
SSH için NIST veya CIS kıyaslamaları gibi standartlarla uyumluluğu düzenli olarak kontrol edin.
7. SSH yazılımı güncellemelerini otomatikleştirin.
SSH yazılımını düzenli olarak güncellemek için bir yama yönetimi süreci uygulayın.
Güncelleştirmeleri yönetmek için Windows sistemleri için Red Hat Satellite veya WSUS gibi otomatik araçları kullanın.
Gibi kaynakları izleyin OpenSSH posta listeleri veya CVE veritabanları yeni güvenlik açıkları için.
İyileştirme
8. OpenSSH’yi güncelleyin.
Birincil çözüm, OpenSSH’yi 9.6p1 veya sonraki bir sürüme güncellemektir. Bu, sisteminizin paket yöneticisi kullanılarak yapılabilir; örneğin, çalıştır sudo apt-get update && sudo apt-get yükseltme openssh-server Ubuntu’da.
9. SSH yapılandırma ayarlarını yapın.
OpenSSH’yi hemen güncelleyemiyorsanız, güvenlik açığı bulunan şifreleri devre dışı bırakmak için SSH yapılandırmanızı değiştirin:
Sunucular için /etc/ssh/sshd_config dosyasını düzenleyin ve ayarlayın Şifreler aes256-ctr,aes192-ctr,aes128-ctr (hariç [email protected] ve CBC modu şifreleri).
İstemciler için ~/.ssh/config veya /etc/ssh/ssh_config dosyasını benzer şekilde düzenleyin.
Değişiklikleri yaptıktan sonra SSH hizmetini kullanarak yeniden başlatın. sudo systemctl sshd’yi yeniden başlat.
10. Devam eden güvenlik güncellemelerini takip edin.
Sürekli güvenlik bakım programının bir parçası olarak SSH istemcileri ve sunucularına güvenlik güncellemelerini düzenli olarak izleyin ve uygulayın.
Bu yöntemleri birleştirerek SSH altyapınızdaki Terrapin güvenlik açığını tespit etmek ve gidermek için kapsamlı bir güvenlik değerlendirmesi yapabilirsiniz.
