Terrapin Artifacts

Dieses Repository enthält Artefakte für den Aufsatz „Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation“, der beim 33. USENIX Security Symposium angenommen wurde.

Der Code in diesem Repository enthält neben anderen Artefakten Proof-of-Concept-Angriffs-Proxys für die folgenden CVEs:

• CVE-2023-48795 (allgemeiner Protokollfehler)
• CVE-2023-46445 (AsyncSSH-Rogue-Erweiterungsverhandlung)
• CVE-2023-46446 (AsyncSSH-Rogue-Session-Angriff)

Alle in diesen Artefakten enthaltenen PoCs und Skripte sind für die Ausführung in Docker-Containern konzipiert. Stellen Sie daher sicher, dass Sie über ein aktuelles Linux- (getestet) oder MacOS/Windows-Betriebssystem (ungetestet) mit installiertem Docker verfügen. Für eine einfache Reproduktion der Papierergebnisse nutzen Sie die im scripts enthaltenen Skripte (siehe Repository-Struktur oben).

Alle Skripte führen die Container im --network host aus, um eine einfache Erfassung mit Wireshark auf der lo-Schnittstelle zu ermöglichen. Standardmäßig binden SSH-Server an Port 2200/tcp, während PoC-Skripte an 2201/tcp binden. Da PoC-Skripte und SSH-Server an 0.0.0.0 binden, wird empfohlen, Ihr System vom Netzwerk zu trennen oder Ihre Firewall ordnungsgemäß zu konfigurieren, um zu verhindern, dass unsichere SSH-Dienste Ihrem lokalen Netzwerk offengelegt werden.

Sie können nach eigenem Ermessen auch einzelne Docker-Container (PoC- und SSH-Implementierungen) erstellen und ausführen.

• Linux oder MacOS. Es ist keine bestimmte Distribution oder Version erforderlich. Wir haben Manjaro (Rolling Release im März 2024) und MacOS 14.4 (Sonoma) verwendet. Windows WSL funktioniert möglicherweise, wurde jedoch nicht getestet und wird nicht unterstützt.
• Bash-Shell-Interpreter (normalerweise im oben genannten enthalten). Es ist keine bestimmte Version erforderlich. Wir haben Bash 5.2.26 und 3.2.57 verwendet.
• Docker Engine oder Docker Desktop. Während die Docker Engine ausreicht und normalerweise in Linux-Distributionen enthalten ist, ist Docker Desktop eine separate Installation unter MacOS. Es ist keine bestimmte Version erforderlich. Wir haben Docker Engine 25.0.3 und Docker Desktop 4.28.0 verwendet.
  • Linux: https://docs.docker.com/engine/install
  • MacOS: https://www.docker.com/products/docker-desktop

Sie können impl/build.sh und pocs/build.sh ausführen, um Ihr Setup zu überprüfen. Die Ausgabe sollte darauf hinweisen, dass die Evaluierungsbilder mit Docker erstellt werden. Erfolgt keine Ausgabe, sind alle Docker-Images bereits erstellt.

$ impl/build.sh
[+] Building 2.0s (15/15) FINISHED
[...]
= > = > naming to docker.io/terrapin-artifacts/openssh-server:9.4p1
[...]
$ pocs/build.sh
[...]

• (C1): Sequenznummernmanipulation (Abschn. 4.1). Wir haben alle Techniken erfolgreich gegen PuTTY 0.79 verifiziert. Darüber hinaus zeigen unsere Experimente, dass OpenSSH 9.5p1 einen Rollover von Sequenznummern erkennt und die Verbindung beendet, sodass keine andere Technik als RcvIncrease davon betroffen ist. AsyncSSH 2.13.2 und libssh 0.10.5 ermöglichen RcvIncrease, beenden die Verbindung jedoch aufgrund von Handshake-Timeouts, bevor eine erweiterte Technik abgeschlossen wird. Dropbear 2022.83 trennt die Verbindung bei UNBEKANNTEN Nachrichten, anstatt mit „UNIMPLEMENTED“ zu antworten, lässt Rcv jedoch einen Rollover zu und ist daher nur von RcvIncrease und RcvDecrease betroffen.
• (C2): Erweiterungs-Downgrade (Abschn. 5.2). Wir haben den Angriff in 10.000 Versuchen auf ChaCha20-Poly1305 und CBC-EtM gegen OpenSSH 9.5p1- und PuTTY 0.79-Clients erfolgreich evaluiert und dabei eine Verbindung zu OpenSSH 9.4p1 (nur UNBEKANNT) und 9.5p1 hergestellt. Für CBC-EtM lag unsere Erfolgsquote in der Praxis bei 0,0003 (OpenSSH) bzw. 0,0003 (OpenSSH). 0,0300 (PuTTY), verbessert auf 0,0074 (OpenSSH) bzw. 0,8383 (PuTTY) beim Senden von PING statt UNKNOWN.
• (C3): Rogue Extension Negotiation (Abschn. 6.1). Wir haben den Angriff gegen AsyncSSH 2.13.2 als Client erfolgreich ausgewertet und eine Verbindung zu AsyncSSH 2.13.2 hergestellt.
• (C4): Rogue Session Attack (Abschn. 6.2). Wir haben den Angriff gegen AsyncSSH 2.13.2 als Server erfolgreich bewertet und eine Verbindung zu AsyncSSH 2.13.2 hergestellt.

Legende:

• - → Nicht bewertet
• ✅ → Angriff gelingt
• R → Client beendet die Verbindung (Rollover).
• T → Client beendet die Verbindung (Timeout).
• U → Client beendet die Verbindung (UNBEKANNTE Meldung).

• (E1): scripts/test-sqn-manipulation.sh – Führen Sie einen der vier Sequenznummernmanipulationsangriffe aus, um (C1) zu beweisen.

  • Erwartete Laufzeit: Etwa 1–3 Stunden pro Client-/Varianten-Kombination.
  • Ausführung: Nachdem Sie das Skript gestartet haben, wählen Sie einen Client, eine der vier Angriffsoptionen und geben Sie den Manipulationsoffset N ein. Um (C1) zu beweisen, geben Sie N = 1 ein.
  • Ergebnisse: Der Angriff ist abgeschlossen, sobald der Fortschrittsbalken gefüllt ist. Danach erscheint eine Fehlermeldung, da der sichere Kanal unterbrochen ist, da das Skript keine Präfixkürzung implementiert, um den Angriff abzuschließen.

• (E2a): scripts/test-ext-downgrade.sh – Führen Sie den Erweiterungs-Downgrade-Angriff aus, um (C2) für ChaCha20-Poly1305 zu beweisen.

  • Erwartete Laufzeit: Etwa 1 Minute.

  • Ausführung: Wählen Sie nach dem Starten des Skripts eine beliebige Client- und Serverkombination. Wählen Sie anschließend Angriffsvariante 1, um ChaCha20-Poly1305 auszuwählen.

  • Ergebnisse: Das Skript schließt mit dem gleichzeitigen Öffnen der folgenden Dateien in less :

    1. diff der Dateien 3 und 4
    2. diff der Dateien 5 und 6
    3. Serverprotokoll (unveränderte Verbindung)
    4. Serverprotokoll (manipulierte Verbindung)
    5. Client-Protokoll (unveränderte Verbindung)
    6. Client-Protokoll (manipulierte Verbindung)
    7. PoC-Proxy-Protokoll

    Navigieren Sie zur zweiten Datei. Die Datei vergleicht die Ausgabe des ausgewählten SSH-Clients im Falle eines Erweiterungs-Downgrade-Angriffs mit der Ausgabe einer unveränderten Verbindung. Der Diff zeigt das Vorhandensein von SSH_MSG_EXT_INFO und das Fehlen von SSH_MSG_IGNORE nur in der unveränderten Verbindung an und beweist somit (C2) für ChaCha20-Poly1305.

• (E2b): scripts/bench-ext-downgrade.sh – Führen Sie den Erweiterungs-Downgrade-Angriff 10.000 Mal aus, um (C2) für CBC-EtM (UNBEKANNT und PING) zu beweisen.

  • Erwartete Laufzeit: Etwa 1–2 Stunden pro Client/Varianten-Kombination.
  • Ausführung: Wählen Sie nach dem Starten des Skripts zwischen den Varianten UNKNOWN und PING des Angriffs und dann zwischen OpenSSH und PuTTY-Client. Ein Fortschrittsbalken zeigt die aktuelle Testversion an.
  • Ergebnisse: Nach Abschluss aller Probeverbindungen wird die Anzahl der erfolgreichen Probeläufe auf der Konsole ausgegeben. Die relative Erfolgsquote wird nahe an den in (C2) angegebenen Werten liegen und damit die in (C2) behauptete Funktionalität und Erfolgswahrscheinlichkeit im Fall von CBC-EtM belegen.

• (E3): scripts/test-asyncssh-rogue-ext-negotiation.sh

  • Erwartete Laufzeit: Etwa 1 Minute.
  • Ausführung: Der Angriff erfolgt automatisch.
  • Ergebnisse: Das Skript schließt mit dem Öffnen eines Satzes von sieben Dateien in less ab. Eine Liste der geöffneten Dateien finden Sie in den Ergebnissen von (E2a). Navigieren Sie zur zweiten Datei. Der Diff zeigt das Vorhandensein der server-sig-algs-Erweiterung mit einem vom Angreifer gewählten Wert in der manipulierten Verbindung an und beweist damit (C3).

• (E4): scripts/test-asyncssh-rogue-session-attack.sh

  • Erwartete Laufzeit: Etwa 1 Minute.
  • Ausführung: Der Angriff erfolgt automatisch.
  • Ergebnisse: Das Skript schließt mit dem Öffnen eines Satzes von sieben Dateien in less ab. Eine Liste der geöffneten Dateien finden Sie in den Ergebnissen von (E2a). Navigieren Sie zur ersten Datei. Der Unterschied zeigt eine erfolgreiche Authentifizierung für das Opfer (unveränderte Verbindung) bzw. den Angreifer (manipulierte Verbindung) an. Navigieren Sie anschließend zur zweiten Datei und überprüfen Sie die Ausgabe jeder Clientverbindung am Ende der Datei. Bei der unveränderten Verbindung antwortet der Server mit dem Benutzernamen des Opfers, während der Server bei der angegriffenen Verbindung mit dem Benutzernamen des Angreifers antwortet. Dies beweist (C4).

Um scan_util.py zu verwenden, erstellen Sie den Docker-Container, indem Sie den folgenden Befehl im scan Ordner ausführen:

docker build . -t terrapin-artifacts/scan-util

Auswertung einer zgrab2-Ergebnisdatei:

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util evaluate -i /files/sample.json -o /files/sample.acc.json

Entfernen blockierter IP-Adressen aus einer Liste von IP-Adressen, die von zmap zurückgegeben werden:

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util filter-blocked-ips -i /files/zmap.csv -o /files/zmap-filtered.csv -b /files/blocklist.txt

Bereinigen der zgrab2-Ergebnisdatei durch Entfernen von Einträgen mit Verbindungsfehlern:

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util tidy-zgrab2 -i /files/sample.json -o /files/sample-clean.json

1. Beim vorzeitigen Beenden eines Testskripts (z. B. durch eine Tastaturunterbrechung) werden Container weder beendet noch aus dem System entfernt. Dies kann sich auf nachfolgende Ausführungen von Testskripten auswirken, da Containernamen in den Skripten wiederverwendet werden. Um dies zu vermeiden, führen Sie bitte scripts/cleanup-system.sh aus, das alle Zwischenergebnisse entfernt und alle laufenden Container im Zusammenhang mit diesen Artefakten beendet und entfernt. Um die Bilder bei der nächsten Ausführung eines Testskripts neu zu erstellen, geben Sie das Flag --full an.
2. PoC-Skripte werden möglicherweise mit einer Fehlermeldung beendet, die darauf hinweist, dass die Adresse bereits verwendet wird. Dies kann auftreten, wenn die Ausführung eines Testskripts zuvor unterbrochen wurde und kurz hintereinander ein anderes Testskript gestartet wird. Um das Problem zu beheben, warten Sie zwischen den Ausführungen ausreichend Zeit (bis zu 4 Minuten), damit das System den Socket-Listener bereinigen kann.

 .
├── impl
│   ├── asyncssh                 # AsyncSSH 2.13.2 (client / server) Dockerfile and additional files
│   ├── dropbear                 # Dropbear 2022.83 (client / server) Dockerfile and additional files
│   ├── libssh                   # libssh 0.10.5 (client / server) Dockerfile and additional files
│   ├── openssh                  # OpenSSH 9.4p1 / 9.5p1 (client / server) Dockerfile and additional files
│   ├── putty                    # PuTTY 0.79 (client only) Dockerfile and additional files
│   └── build.sh                 # Script to build all required implementation Docker images for reproducing our results
├── pocs                         # Proof of concept scripts
│   ├── sqn-manipulations        # Scripts related to sequence number manipulation (section 4.1)
│   ├── ext-downgrade            # Scripts related to the extension downgrade attack (section 5.2)
│   ├── asyncssh                 # Scripts related to AsyncSSH vulnerabilities (section 6)
│   ├── Dockerfile               # Multistage Dockerfile to build PoC docker images
│   └── build.sh                 # Script to build all required PoC Docker images for reproducing our results
├── scan                         # Files related to the internet-wide scan conducted
│   ├── paper                    # Directory containing the aggregated scan data referenced in the final version of the paper
│   ├── sample                   # Directory containing an anonymized zgrab2 ssh results sample to use with scan_util.py
│   ├── scan_util.py             # Utility script for aggregating zgrab2 ssh results
│   ├── requirements.txt         # pip requirements file for scan_util.py
│   └── Dockerfile               # Dockerfile to build a docker image running scan_util.py
├── scripts                      # Scripts for easier reproduction of our results presented in the paper
│   ├── bench-ext-downgrade.sh   # Benchmark script to evaluate the success rate of the CBC-EtM variant of the extension downgrade attack
│   ├── cleanup-system.sh        # A cleanup script which can be used to containers and images related to these artifacts
│   ├── start-wireshark.sh       # A convenience script to start Wireshark capturing on lo interface with SSH decoding and display filter
│   ├── test-asyncssh-rogue-ext-negotiation.sh
│   │                            # Test script for the AsyncSSH-specific rogue extension negotiation attack (section 6.1 / figure 6)
│   ├── test-asnycssh-rogue-session-attack.sh
│   │                            # Test script for the AsyncSSH-specific rogue session attack (section 6.2 / figure 7)
│   ├── test-ext-downgrade.sh    # Test script for the extension downgrade attack (section 5.2 / figure 5)
│   └── test-sqn-manipulation.sh # Test script for sequence number manipulation (section 4.1)
├── traces                       # PCAP traces of the PoC scripts
├── LICENSE
└── README.md

Die folgenden Bibliotheken von Drittanbietern werden verwendet:

• CLI-Schnittstelle: Klicken
• CLI-Fortschrittsbalken: tqdm