ホーム>プログラミング関連>その他のソースコード
ダウンロード

Terrapin 攻撃: シーケンス番号操作による SSH チャネルの整合性の破壊 - アーティファクト

このリポジトリには、第 33 回 USENIX セキュリティ シンポジウムで採択された論文「Terrapin Attack: Breaking SSH Channel Integrity By Sequence Number Manipulation」のアーティファクトが含まれています。

このリポジトリのコードには、他のアーティファクトの中でも、次の CVE の概念実証攻撃プロキシが含まれています。

  • CVE-2023-48795 (一般的なプロトコルの欠陥)
  • CVE-2023-46445 (AsyncSSH 不正拡張ネゴシエーション)
  • CVE-2023-46446 (AsyncSSH 不正セッション攻撃)

説明と要件

これらの成果物に含まれるすべての PoC とスクリプトは、Docker コンテナー内で実行されるように設計されています。そのため、Docker がインストールされた最新の Linux (テスト済み) または MacOS / Windows (未テスト) オペレーティング システムを使用していることを確認してください。論文の結果を簡単に再現するには、 scriptsフォルダーに含まれるスクリプトを参照してください (上記のリポジトリ構造を参照)。

すべてのスクリプトは--network hostでコンテナを実行し、lo インターフェイスで Wireshark を使用して簡単にキャプチャできるようにします。デフォルトでは、SSH サーバーはポート 2200/tcp にバインドされ、PoC スクリプトはポート 2201/tcp にバインドされます。 PoC スクリプトと SSH サーバーは 0.0.0.0 にバインドされているため、安全でない SSH サービスがローカル ネットワークに公開されるのを避けるために、システムをネットワークから切断するか、ファイアウォールを適切に設定することをお勧めします。

また、独自の判断で個々の Docker コンテナ (PoC および SSH 実装) を構築して実行することもできます。

ソフトウェア要件

  • Linux または MacOS。特定のディストリビューションやバージョンは必要ありません。 Manjaro (2024 年 3 月にローリング リリース) と MacOS 14.4 (Sonoma) を使用しました。 Windows WSL は動作する可能性がありますが、テストされておらず、サポートされていません。
  • Bash シェル インタープリター (通常は上記に含まれています)。特定のバージョンは必要ありません。 bash 5.2.26 と 3.2.57 を使用しました。
  • Docker エンジンまたは Docker デスクトップ。 Docker Engine で十分であり、通常は Linux ディストリビューションに含まれていますが、Docker Desktop は MacOS では別個にインストールされます。特定のバージョンは必要ありません。 Docker Engine 25.0.3 と Docker Desktop 4.28.0 を使用しました。
    • Linux: https://docs.docker.com/engine/install
    • MacOS: https://www.docker.com/products/docker-desktop

基本機能テスト

impl/build.shおよびpocs/build.sh実行して設定を確認できます。出力には、評価イメージが Docker を使用して構築されていることが示されます。出力がない場合は、すべての Docker イメージがすでにビルドされています。 

$ impl/build.sh
[+] Building 2.0s (15/15) FINISHED
[...]
= > = > naming to docker.io/terrapin-artifacts/openssh-server:9.4p1
[...]
$ pocs/build.sh
[...]

評価ワークフロー

主なクレーム

  • (C1): シーケンス番号の操作 (セクション 4.1)。すべてのテクニックが PuTTY 0.79 に対して正常に検証されました。さらに、私たちの実験では、OpenSSH 9.5p1 がシーケンス番号のロールオーバーを認識して接続を終了するため、RcvIncrease 以外の技術の影響を受けないことがわかりました。 AsyncSSH 2.13.2 および libssh 0.10.5 では RcvIncrease が可能ですが、高度な技術が完了する前にハンドシェイク タイムアウトにより接続が終了します。 Dropbear 2022.83 は、UNIMPLEMENTED で応答するのではなく UNKNOWN メッセージで切断しますが、Rcv のロールオーバーは許可するため、RcvIncrease と RcvDecrease の影響のみを受けます。
  • (C2): 拡張機能のダウングレード (セクション 5.2)。 OpenSSH 9.4p1 (不明のみ) および 9.5p1 に接続する OpenSSH 9.5p1 および PuTTY 0.79 クライアントに対する ChaCha20-Poly1305 および CBC-EtM の 10,000 回のトライアルで攻撃を評価することに成功しました。 CBC-EtM の場合、実際の成功率はそれぞれ 0.0003 (OpenSSH) でした。それぞれ 0.0300 (PuTTY)、0.0074 (OpenSSH) に改善されました。 UNKNOWN ではなく PING を送信する場合は 0.8383 (PuTTY)。
  • (C3): 不正拡張ネゴシエーション (セクション 6.1)。 AsyncSSH 2.13.2 に接続し、クライアントとして AsyncSSH 2.13.2 に対する攻撃を評価することに成功しました。
  • (C4): ローグ セッション攻撃 (セクション 6.2)。 AsyncSSH 2.13.2 に接続し、サーバーとして AsyncSSH 2.13.2 に対する攻撃を評価することに成功しました。

期待される結果

攻撃パテ 0.79 OpenSSH 9.4p1 OpenSSH 9.5p1ドロップベア 2022.83非同期SSH 2.13.2 libssh 0.10.5
C1 受信増加 -
C1 受信減少 - R T T
C1 Snd増加 - R U T T
C1 SndDecrease - R U T T
C2 ChaCha20-ポリ1305 - - -
C2 CBC-EtM 0.0300 (不明)
0.8383 (ピン)		 0.0003 (不明) 0.0003 (不明)
0.0074 (ピン)		 - - -
C3 ローグ エクステンション- - - - -
C4ローグセッション- - - - -

伝説:

  • - → 評価されない
  • ✅ → 攻撃成功
  • R → クライアントが接続を終了します (ロールオーバー)。
  • T → クライアントが接続を終了します (タイムアウト)。
  • U → クライアントが接続を終了します (UNKNOWN メッセージ)。

実験

  • (E1): scripts/test-sqn-manipulation.sh - 4 つのシーケンス番号操作攻撃のいずれかを実行して、(C1) を証明します。

    • 予想される実行時間:クライアント/バリアントの組み合わせごとに約 1 ~ 3 時間。
    • 実行:スクリプトの開始後、クライアント、4 つの攻撃オプションのいずれかを選択し、操作オフセット N を入力します。(C1) を証明するには、N = 1 を入力します。
    • 結果:進行状況バーがいっぱいになると、攻撃は完了します。その後、スクリプトには攻撃を完了するためのプレフィックスの切り捨てが実装されていないため、安全なチャネルが壊れているため、エラー メッセージが表示されます。

  • (E2a): scripts/test-ext-downgrade.sh - 拡張機能ダウングレード攻撃を実行して、ChaCha20-Poly1305 の (C2) を証明します。

    • 予想される実行時間:約 1 分。

    • 実行:スクリプトの開始後、任意のクライアントとサーバーの組み合わせを選択します。その後、攻撃バリアント 1 を選択して ChaCha20-Poly1305 を選択します。

    • 結果:スクリプトは、 lessで次のファイルを同時に開くことで終了します。

      1. ファイル 3 と 4 のdiff
      2. ファイル5と6のdiff
      3. サーバーログ (未変更の接続)
      4. サーバーログ (改ざんされた接続)
      5. クライアントログ (未変更の接続)
      6. クライアントログ (改ざんされた接続)
      7. PoC プロキシ ログ

      2 番目のファイルに移動します。このファイルは、拡張機能ダウングレード攻撃の場合の選択された SSH クライアントの出力を、変更されていない接続の出力と比較します。この差分は、未変更の接続のみに SSH_MSG_EXT_INFO が存在し、SSH_MSG_IGNORE が存在しないことを示し、ChaCha20-Poly1305 の (C2) が証明されます。

  • (E2b): scripts/bench-ext-downgrade.sh - 拡張機能ダウングレード攻撃を 10,000 回実行して、CBC-EtM (UNKNOWN および PING) の (C2) を証明します。

    • 予想される実行時間:クライアント/バリアントの組み合わせごとに約 1 ~ 2 時間。
    • 実行:スクリプトを開始した後、攻撃の UNKNOWN と PING のどちらかを選択し、次に OpenSSH と PuTTY クライアントのどちらかを選択します。進行状況バーに現在のトライアルが表示されます。
    • 結果:すべての試行接続が完了すると、成功した試行実行の数がコンソールに出力されます。相対成功率は (C2) で主張されている値に近いため、CBC-EtM の場合、(C2) で主張されている機能性と成功確率が証明されます。

  • (E3): scripts/test-asyncssh-rogue-ext-negotiation.sh

    • 予想される実行時間:約 1 分。
    • 実行:攻撃は自動的に行われます。
    • 結果:スクリプトは、 lessで 7 つのファイルのセットを開いて終了します。開かれたファイルのリストについては、(E2a) の結果を参照してください。 2 番目のファイルに移動します。 diff は、改ざんされた接続内に攻撃者が選択した値を持つserver-sig-algs 拡張機能が存在することを示し、(C3) が証明されます。

  • (E4): scripts/test-asyncssh-rogue-session-attack.sh

    • 予想される実行時間:約 1 分。
    • 実行:攻撃は自動的に行われます。
    • 結果:スクリプトは、 lessで 7 つのファイルのセットを開いて終了します。開かれたファイルのリストについては、(E2a) の結果を参照してください。最初のファイルに移動します。 diff は、それぞれ被害者 (変更されていない接続) と攻撃者 (改ざんされた接続) の認証が成功したことを示します。その後、2 番目のファイルに移動し、ファイルの最後にある各クライアント接続の出力を調べます。変更されていない接続では、サーバーは犠牲者のユーザー名で応答しますが、攻撃された接続では、サーバーは攻撃者のユーザー名で応答します。これは(C4)を証明する。

はじめに (scan_util.py)

scan_util.py を使用するには、 scanフォルダー内で次のコマンドを実行して Docker コンテナーを構築します。 

docker build . -t terrapin-artifacts/scan-util

使用法

zgrab2 結果ファイルの評価: 

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util evaluate -i /files/sample.json -o /files/sample.acc.json

zmap によって返される IP アドレスのリストからブロックされた IP アドレスを削除します。 

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util filter-blocked-ips -i /files/zmap.csv -o /files/zmap-filtered.csv -b /files/blocklist.txt

接続エラーのあるエントリを削除して、zgrab2 結果ファイルを整理します。 

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util tidy-zgrab2 -i /files/sample.json -o /files/sample-clean.json

トラブルシューティング

  1. テスト スクリプトを途中で終了すると (つまり、キーボード割り込みによって)、コンテナは終了されず、システムから削除されません。コンテナ名がスクリプト全体で再利用されるため、これはテスト スクリプトの後続の実行に影響を与える可能性があります。これを回避するには、 scripts/cleanup-system.shを実行して中間結果を削除し、これらのアーティファクトに関連する実行中のコンテナを終了して削除してください。次回のテスト スクリプトの実行時にイメージを再構築するには、 --fullフラグを指定します。
  2. PoC スクリプトは、アドレスがすでに使用されていることを示すエラーで終了する場合があります。これは、テスト スクリプトの実行が以前に中断され、別のテスト スクリプトが立て続けに開始された場合に発生する可能性があります。この問題を解決するには、システムがソケット リスナーをクリーンアップできるように、実行間に適切な時間 (最大 4 分) 待ってください。

リポジトリ構造

 .
├── impl
│   ├── asyncssh                 # AsyncSSH 2.13.2 (client / server) Dockerfile and additional files
│   ├── dropbear                 # Dropbear 2022.83 (client / server) Dockerfile and additional files
│   ├── libssh                   # libssh 0.10.5 (client / server) Dockerfile and additional files
│   ├── openssh                  # OpenSSH 9.4p1 / 9.5p1 (client / server) Dockerfile and additional files
│   ├── putty                    # PuTTY 0.79 (client only) Dockerfile and additional files
│   └── build.sh                 # Script to build all required implementation Docker images for reproducing our results
├── pocs                         # Proof of concept scripts
│   ├── sqn-manipulations        # Scripts related to sequence number manipulation (section 4.1)
│   ├── ext-downgrade            # Scripts related to the extension downgrade attack (section 5.2)
│   ├── asyncssh                 # Scripts related to AsyncSSH vulnerabilities (section 6)
│   ├── Dockerfile               # Multistage Dockerfile to build PoC docker images
│   └── build.sh                 # Script to build all required PoC Docker images for reproducing our results
├── scan                         # Files related to the internet-wide scan conducted
│   ├── paper                    # Directory containing the aggregated scan data referenced in the final version of the paper
│   ├── sample                   # Directory containing an anonymized zgrab2 ssh results sample to use with scan_util.py
│   ├── scan_util.py             # Utility script for aggregating zgrab2 ssh results
│   ├── requirements.txt         # pip requirements file for scan_util.py
│   └── Dockerfile               # Dockerfile to build a docker image running scan_util.py
├── scripts                      # Scripts for easier reproduction of our results presented in the paper
│   ├── bench-ext-downgrade.sh   # Benchmark script to evaluate the success rate of the CBC-EtM variant of the extension downgrade attack
│   ├── cleanup-system.sh        # A cleanup script which can be used to containers and images related to these artifacts
│   ├── start-wireshark.sh       # A convenience script to start Wireshark capturing on lo interface with SSH decoding and display filter
│   ├── test-asyncssh-rogue-ext-negotiation.sh
│   │                            # Test script for the AsyncSSH-specific rogue extension negotiation attack (section 6.1 / figure 6)
│   ├── test-asnycssh-rogue-session-attack.sh
│   │                            # Test script for the AsyncSSH-specific rogue session attack (section 6.2 / figure 7)
│   ├── test-ext-downgrade.sh    # Test script for the extension downgrade attack (section 5.2 / figure 5)
│   └── test-sqn-manipulation.sh # Test script for sequence number manipulation (section 4.1)
├── traces                       # PCAP traces of the PoC scripts
├── LICENSE
└── README.md

謝辞

次のサードパーティ ライブラリが使用されます。

  • CLI インターフェイス: クリック
  • CLI プログレスバー: tqdm
拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて
ユーザーコメント