الصفحة الرئيسية>المتعلقة بالبرمجة>شفرة المصدر الأخرى
تنزيل

هجوم Terrapin: كسر سلامة قناة SSH من خلال التلاعب بأرقام التسلسل - القطع الأثرية

يحتوي هذا المستودع على قطع أثرية للمقالة "هجوم Terrapin: كسر سلامة قناة SSH من خلال معالجة رقم التسلسل"، والتي تم قبولها في ندوة USENIX الأمنية الثالثة والثلاثين.

يحتوي الكود الموجود في هذا المستودع، من بين عناصر أخرى، على وكلاء هجوم إثبات المفهوم لـ CVEs التالية:

  • CVE-2023-48795 (خلل عام في البروتوكول)
  • CVE-2023-46445 (مفاوضات الامتداد المارقة AsyncSSH)
  • CVE-2023-46446 (هجوم الجلسة المارقة AsyncSSH)

الوصف والمتطلبات

تم تصميم جميع إثباتات المفهوم (PoCs) والبرامج النصية الموجودة داخل هذه العناصر ليتم تشغيلها داخل حاويات Docker. على هذا النحو، تأكد من أن لديك نظام تشغيل Linux (تم اختباره) أو MacOS / Windows (غير مُختبر) مع تثبيت Docker. لسهولة إعادة إنتاج النتائج الورقية، قم بالرجوع إلى البرامج النصية الموجودة في مجلد scripts (انظر بنية المستودع أعلاه).

ستقوم جميع البرامج النصية بتشغيل الحاويات في --network host للسماح بالتقاط سهل باستخدام Wireshark على الواجهة lo. افتراضيًا، سترتبط خوادم SSH بالمنفذ 2200/tcp بينما سترتبط البرامج النصية لـ PoC بالمنفذ 2201/tcp. نظرًا لأن البرامج النصية PoC وخوادم SSH مرتبطة بـ 0.0.0.0، فمن المستحسن فصل نظامك عن الشبكة أو تكوين جدار الحماية الخاص بك بشكل صحيح لتجنب الكشف عن خدمات SSH غير الآمنة لشبكتك المحلية.

يمكنك أيضًا إنشاء وتشغيل حاويات Docker فردية (تطبيقات PoC وSSH) وفقًا لتقديرك الخاص.

متطلبات البرمجيات

  • لينكس أو ماك. لا يلزم توزيع أو إصدار محدد. استخدمنا Manjaro (الإصدار المتداول في مارس 2024) وMacOS 14.4 (Sonoma). قد يعمل Windows WSL ولكنه لم يتم اختباره وغير مدعوم.
  • مترجم Bash Shell (عادةً ما يتم تضمينه في ما سبق). لا يوجد إصدار محدد مطلوب. استخدمنا باش 5.2.26 و3.2.57.
  • محرك Docker أو Docker Desktop. على الرغم من أن Docker Engine يكفي ويتم تضمينه عادةً في توزيعات Linux، فإن Docker Desktop هو تثبيت منفصل على نظام MacOS. لا يوجد إصدار محدد مطلوب. استخدمنا Docker Engine 25.0.3 وDocker Desktop 4.28.0.
    • لينكس: https://docs.docker.com/engine/install
    • ماك: https://www.docker.com/products/docker-desktop

اختبار الوظائف الأساسية

يمكنك تشغيل impl/build.sh و pocs/build.sh للتحقق من الإعداد. يجب أن يشير الإخراج إلى أن صور التقييم يتم إنشاؤها باستخدام Docker. إذا لم يكن هناك إخراج، فهذا يعني أن جميع صور عامل الإرساء قد تم إنشاؤها بالفعل. 

$ impl/build.sh
[+] Building 2.0s (15/15) FINISHED
[...]
= > = > naming to docker.io/terrapin-artifacts/openssh-server:9.4p1
[...]
$ pocs/build.sh
[...]

سير عمل التقييم

المطالبات الرئيسية

  • (C1): التلاعب بالأرقام التسلسلية (القسم 4.1). لقد تحققنا من جميع التقنيات بنجاح باستخدام PuTTY 0.79. بالإضافة إلى ذلك، تُظهر تجاربنا أن OpenSSH 9.5p1 يتعرف على تمرير أرقام التسلسل وينهي الاتصال، وبالتالي لا يتأثر بأي تقنية باستثناء RcvIncrease. يسمح AsyncSSH 2.13.2 وlibssh 0.10.5 بـ RcvIncrease ولكنهما ينهيان الاتصال بسبب انتهاء مهلة المصافحة قبل انتهاء أي تقنية متقدمة. يتم قطع اتصال Dropbear 2022.83 مع الرسائل غير المعروفة بدلاً من الاستجابة بـ UNIMPLEMENTED ولكنه يسمح لـ Rcv بالتمرير، وبالتالي يتأثر بـ RcvIncrease وRcvDecrease فقط.
  • (C2): خفض مستوى الامتداد (القسم 5.2). نجحنا في تقييم الهجوم في 10000 تجربة على ChaCha20-Poly1305 وCBC-EtM ضد عملاء OpenSSH 9.5p1 وPuTTY 0.79، والاتصال بـ OpenSSH 9.4p1 (غير معروف فقط) و9.5p1. بالنسبة لـ CBC-EtM، كان معدل نجاحنا في الممارسة العملية هو 0.0003 (OpenSSH). 0.0300 (PuTTY)، تم تحسينه إلى 0.0074 (OpenSSH) على التوالي. 0.8383 (PuTTY) عند إرسال PING بدلاً من UNKNOWN.
  • (C3): مفاوضات التمديد المارقة (القسم 6.1). لقد نجحنا في تقييم الهجوم على AsyncSSH 2.13.2 كعميل، متصلاً بـ AsyncSSH 2.13.2.
  • (C4): هجوم الجلسة المارقة (القسم 6.2). لقد نجحنا في تقييم الهجوم على AsyncSSH 2.13.2 كخادم، متصلاً بـ AsyncSSH 2.13.2.

النتائج المتوقعة

هجوم المعجون 0.79 OpenSSH 9.4p1 أوبن إس إس إتش 9.5p1 دروببير 2022.83 غير متزامنSSH 2.13.2 ليبش 0.10.5
C1 ركف زيادة -
C1 Rcvتناقص - ر ت ت
C1 زيادة - ر ش ت ت
C1 انخفاض - ر ش ت ت
C2 ChaCha20-Poly1305 - - -
C2 CBC-EtM 0.0300 (غير معروف)
0.8383 (بينغ)		 0.0003 (غير معروف) 0.0003 (غير معروف)
0.0074 (بينغ)		 - - -
ملحق C3 المارقة - - - - -
جلسة C4 المارقة - - - - -

أسطورة:

  • - → لم يتم تقييمها
  • ✅ → ينجح الهجوم
  • R → ينهي العميل الاتصال (التمرير).
  • T → ينهي العميل الاتصال (مهلة).
  • U → ينهي العميل الاتصال (رسالة غير معروفة).

التجارب

  • (E1): scripts/test-sqn-manipulation.sh - قم بتشغيل إحدى هجمات التلاعب بالأرقام التسلسلية الأربعة لإثبات (C1).

    • وقت التشغيل المتوقع: حوالي 1 - 3 ساعات لكل عميل/مجموعة متغيرة.
    • التنفيذ: بعد بدء البرنامج النصي، اختر العميل، أحد خيارات الهجوم الأربعة، وأدخل إزاحة المعالجة N. لإثبات (C1)، أدخل N = 1.
    • النتائج: يكتمل الهجوم بمجرد امتلاء شريط التقدم. بعد ذلك، ستظهر رسالة خطأ لأن القناة الآمنة معطلة، حيث لا يقوم البرنامج النصي بتنفيذ أي اقتطاع للبادئة لإكمال الهجوم.

  • (E2a): scripts/test-ext-downgrade.sh - قم بتشغيل هجوم الرجوع إلى إصدار أقدم من الامتداد لإثبات (C2) لـ ChaCha20-Poly1305.

    • وقت التشغيل المتوقع: حوالي 1 دقيقة.

    • التنفيذ: بعد بدء البرنامج النصي، اختر مجموعة عشوائية من العميل والخادم. بعد ذلك، اختر متغير الهجوم 1 لتحديد ChaCha20-Poly1305.

    • النتائج: سيختتم البرنامج النصي بفتح الملفات التالية في وقت واحد في less :

      1. diff بين الملفين 3 و 4
      2. diff بين الملفين 5 و 6
      3. سجل الخادم (اتصال غير معدل)
      4. سجل الخادم (الاتصال الذي تم العبث به)
      5. سجل العميل (اتصال غير معدل)
      6. سجل العميل (اتصال تم العبث به)
      7. سجل وكيل PoC

      انتقل إلى الملف الثاني. يقارن الملف مخرجات عميل SSH المحدد في حالة هجوم تقليل الامتداد بمخرجات الاتصال غير المعدل. سيشير الفرق إلى وجود SSH_MSG_EXT_INFO وغياب SSH_MSG_IGNORE في الاتصال غير المعدل فقط، مما يثبت (C2) لـ ChaCha20-Poly1305.

  • (E2b): scripts/bench-ext-downgrade.sh - قم بتشغيل هجوم الرجوع إلى إصدار الامتداد 10000 مرة لإثبات (C2) لـ CBC-EtM (غير معروف وPING).

    • وقت التشغيل المتوقع: حوالي 1 - 2 ساعة لكل مجموعة عميل/متغير.
    • التنفيذ: بعد بدء البرنامج النصي، اختر بين متغيرات الهجوم UNKNOWN وPING، ثم اختر بين عميل OpenSSH وPuTTY. سيظهر شريط التقدم التجربة الحالية.
    • النتائج: بعد الانتهاء من جميع الاتصالات التجريبية، سيتم إخراج عدد مرات التشغيل التجريبية الناجحة إلى وحدة التحكم. سيكون معدل النجاح النسبي قريبًا من القيم المطالب بها في (C2)، وبالتالي إثبات الوظيفة ومطالبات احتمالية النجاح في (C2) في حالة CBC-EtM.

  • (E3): scripts/test-asyncssh-rogue-ext-negotiation.sh

    • وقت التشغيل المتوقع: حوالي 1 دقيقة.
    • التنفيذ: الهجوم تلقائي.
    • النتائج: سيختتم البرنامج النصي بفتح مجموعة من سبعة ملفات في less . راجع نتائج (E2a) للحصول على قائمة الملفات المفتوحة. انتقل إلى الملف الثاني. سيشير الفرق إلى وجود امتداد server-sig-algs بقيمة يختارها المهاجم في الاتصال الذي تم العبث به، وبالتالي إثبات (C3).

  • (E4): scripts/test-asyncssh-rogue-session-attack.sh

    • وقت التشغيل المتوقع: حوالي 1 دقيقة.
    • التنفيذ: الهجوم تلقائي.
    • النتائج: سيختتم البرنامج النصي بفتح مجموعة من سبعة ملفات في less . راجع نتائج (E2a) للحصول على قائمة الملفات المفتوحة. انتقل إلى الملف الأول. سيشير الفرق إلى المصادقة الناجحة للضحية (اتصال غير معدل) والمهاجم (اتصال تم العبث به)، على التوالي. بعد ذلك، انتقل إلى الملف الثاني وافحص مخرجات كل اتصال عميل في نهاية الملف. في الاتصال غير المعدل، سيستجيب الخادم بضحية اسم المستخدم، بينما في الاتصال الذي تمت مهاجمته، سيستجيب الخادم بمهاجم اسم المستخدم. وهذا يثبت (C4).

البدء (scan_util.py)

لاستخدام scan_util.py، أنشئ حاوية الإرساء عن طريق تشغيل الأمر التالي داخل مجلد scan : 

docker build . -t terrapin-artifacts/scan-util

الاستخدام

تقييم ملف نتائج zgrab2: 

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util evaluate -i /files/sample.json -o /files/sample.acc.json

إزالة عناوين IP المحظورة من قائمة عناوين IP التي تم إرجاعها بواسطة zmap: 

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util filter-blocked-ips -i /files/zmap.csv -o /files/zmap-filtered.csv -b /files/blocklist.txt

ترتيب ملف نتائج zgrab2 عن طريق إزالة الإدخالات التي فشلت في الاتصال: 

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util tidy-zgrab2 -i /files/sample.json -o /files/sample-clean.json

استكشاف الأخطاء وإصلاحها

  1. عند الخروج من برنامج نصي للاختبار قبل الأوان (أي من خلال مقاطعة لوحة المفاتيح)، لن يتم إنهاء الحاويات أو إزالتها من النظام. يمكن أن يؤثر هذا على عمليات التشغيل اللاحقة للبرامج النصية للاختبار حيث تتم إعادة استخدام أسماء الحاويات عبر البرامج النصية. لتجنب ذلك، يرجى تشغيل scripts/cleanup-system.sh الذي يزيل أي نتائج وسيطة وينهي ويزيل أي حاوية قيد التشغيل مرتبطة بهذه العناصر. لإعادة بناء الصور عند التنفيذ التالي لبرنامج نصي للاختبار، حدد العلامة --full .
  2. قد يتم الخروج من البرامج النصية لـ PoC مع وجود خطأ يشير إلى أن العنوان قيد الاستخدام بالفعل. يمكن أن يحدث هذا عند مقاطعة تشغيل برنامج نصي اختباري مسبقًا وبدء تشغيل برنامج نصي اختباري آخر في تتابع سريع. لحل المشكلة، انتظر فترة زمنية مناسبة بين عمليات التشغيل (تصل إلى 4 دقائق) للسماح للنظام بتنظيف مستمع المقبس.

هيكل المستودع 

 .
├── impl
│   ├── asyncssh                 # AsyncSSH 2.13.2 (client / server) Dockerfile and additional files
│   ├── dropbear                 # Dropbear 2022.83 (client / server) Dockerfile and additional files
│   ├── libssh                   # libssh 0.10.5 (client / server) Dockerfile and additional files
│   ├── openssh                  # OpenSSH 9.4p1 / 9.5p1 (client / server) Dockerfile and additional files
│   ├── putty                    # PuTTY 0.79 (client only) Dockerfile and additional files
│   └── build.sh                 # Script to build all required implementation Docker images for reproducing our results
├── pocs                         # Proof of concept scripts
│   ├── sqn-manipulations        # Scripts related to sequence number manipulation (section 4.1)
│   ├── ext-downgrade            # Scripts related to the extension downgrade attack (section 5.2)
│   ├── asyncssh                 # Scripts related to AsyncSSH vulnerabilities (section 6)
│   ├── Dockerfile               # Multistage Dockerfile to build PoC docker images
│   └── build.sh                 # Script to build all required PoC Docker images for reproducing our results
├── scan                         # Files related to the internet-wide scan conducted
│   ├── paper                    # Directory containing the aggregated scan data referenced in the final version of the paper
│   ├── sample                   # Directory containing an anonymized zgrab2 ssh results sample to use with scan_util.py
│   ├── scan_util.py             # Utility script for aggregating zgrab2 ssh results
│   ├── requirements.txt         # pip requirements file for scan_util.py
│   └── Dockerfile               # Dockerfile to build a docker image running scan_util.py
├── scripts                      # Scripts for easier reproduction of our results presented in the paper
│   ├── bench-ext-downgrade.sh   # Benchmark script to evaluate the success rate of the CBC-EtM variant of the extension downgrade attack
│   ├── cleanup-system.sh        # A cleanup script which can be used to containers and images related to these artifacts
│   ├── start-wireshark.sh       # A convenience script to start Wireshark capturing on lo interface with SSH decoding and display filter
│   ├── test-asyncssh-rogue-ext-negotiation.sh
│   │                            # Test script for the AsyncSSH-specific rogue extension negotiation attack (section 6.1 / figure 6)
│   ├── test-asnycssh-rogue-session-attack.sh
│   │                            # Test script for the AsyncSSH-specific rogue session attack (section 6.2 / figure 7)
│   ├── test-ext-downgrade.sh    # Test script for the extension downgrade attack (section 5.2 / figure 5)
│   └── test-sqn-manipulation.sh # Test script for sequence number manipulation (section 4.1)
├── traces                       # PCAP traces of the PoC scripts
├── LICENSE
└── README.md

شكر وتقدير

يتم استخدام مكتبات الطرف الثالث التالية:

  • واجهة سطر الأوامر: انقر
  • شريط تقدم CLI: tqdm
يوسع
معلومات إضافية
تطبيقات ذات صلة
نوصي لك
أخبار ذات صلة الكل
تعليقات المستخدمين