Terrapin Artifacts

Este repositório contém artefatos para o artigo "Ataque Terrapin: Quebrando a integridade do canal SSH por manipulação de número de sequência", aceito no 33º Simpósio de Segurança USENIX.

O código neste repositório contém, entre outros artefatos, proxies de ataque de prova de conceito para os seguintes CVEs:

• CVE-2023-48795 (falha geral de protocolo)
• CVE-2023-46445 (negociação de extensão não autorizada AsyncSSH)
• CVE-2023-46446 (ataque de sessão não autorizada AsyncSSH)

Todos os PoCs e scripts contidos nesses artefatos são projetados para serem executados dentro de contêineres Docker. Como tal, certifique-se de ter um sistema operacional Linux (testado) ou MacOS/Windows (não testado) recente com Docker instalado. Para facilitar a reprodução dos resultados do artigo, consulte os scripts contidos na pasta scripts (veja a estrutura do repositório acima).

Todos os scripts executarão os contêineres em --network host para permitir fácil captura usando o Wireshark na interface lo. Por padrão, os servidores SSH serão vinculados à porta 2200/tcp, enquanto os scripts PoC serão vinculados à 2201/tcp. Como os scripts PoC e os servidores SSH estão vinculados a 0.0.0.0, é aconselhável desconectar seu sistema da rede ou configurar seu firewall adequadamente para evitar a divulgação de serviços SSH inseguros para sua rede local.

Você também pode criar e executar contêineres Docker individuais (implementações PoC e SSH) a seu critério.

• Linux ou MacOS. Nenhuma distribuição ou versão específica é necessária. Usamos Manjaro (lançamento contínuo em março de 2024) e MacOS 14.4 (Sonoma). O Windows WSL pode funcionar, mas não foi testado e não é compatível.
• Intérprete de shell Bash (normalmente incluído acima). Nenhuma versão específica é necessária. Usamos bash 5.2.26 e 3.2.57.
• Docker Engine ou Docker Desktop. Embora o Docker Engine seja suficiente e normalmente incluído nas distribuições Linux, o Docker Desktop é uma instalação separada no MacOS. Nenhuma versão específica é necessária. Usamos Docker Engine 25.0.3 e Docker Desktop 4.28.0.
  • Linux: https://docs.docker.com/engine/install
  • MacOS: https://www.docker.com/products/docker-desktop

Você pode executar impl/build.sh e pocs/build.sh para verificar sua configuração. A saída deve indicar que as imagens de avaliação estão sendo construídas usando Docker. Se não houver saída, todas as imagens do docker já foram construídas.

$ impl/build.sh
[+] Building 2.0s (15/15) FINISHED
[...]
= > = > naming to docker.io/terrapin-artifacts/openssh-server:9.4p1
[...]
$ pocs/build.sh
[...]

• (C1): Manipulação de números de sequência (Seção 4.1). Verificamos todas as técnicas com sucesso em relação ao PuTTY 0.79. Além disso, nossos experimentos mostram que o OpenSSH 9.5p1 reconhece um rollover de números de sequência e encerra a conexão, portanto, não é afetado por nenhuma técnica além do RcvIncrease. AsyncSSH 2.13.2 e libssh 0.10.5 permitem RcvIncrease, mas encerram a conexão devido ao tempo limite do handshake antes da conclusão de qualquer técnica avançada. Dropbear 2022.83 desconecta em mensagens UNKNOWN em vez de responder com UNIMPLEMENTED, mas permite que Rcv seja rolado, sendo afetado apenas por RcvIncrease e RcvDecrease.
• (C2): Downgrade de Extensão (Seção 5.2). Avaliamos com sucesso o ataque em 10.000 testes no ChaCha20-Poly1305 e CBC-EtM contra clientes OpenSSH 9.5p1 e PuTTY 0.79, conectando-se ao OpenSSH 9.4p1 (apenas DESCONHECIDO) e 9.5p1. Para o CBC-EtM, nossa taxa de sucesso na prática foi de 0,0003 (OpenSSH) respectivamente. 0,0300 (PuTTY), melhorado para 0,0074 (OpenSSH) resp. 0,8383 (PuTTY) ao enviar PING em vez de UNKNOWN.
• (C3): Negociação de extensão não autorizada (Seção 6.1). Avaliamos com sucesso o ataque contra o AsyncSSH 2.13.2 como cliente, conectando-se ao AsyncSSH 2.13.2.
• (C4): Ataque de Sessão Rogue (Seção 6.2). Avaliamos com sucesso o ataque contra o AsyncSSH 2.13.2 como um servidor, conectando-se ao AsyncSSH 2.13.2.

Lenda:

• - → Não avaliado
• ✅ → Ataque bem sucedido
• R → Cliente finaliza a conexão (rollover).
• T → Cliente encerra a conexão (timeout).
• U → Cliente encerra a conexão (mensagem DESCONHECIDA).

• (E1): scripts/test-sqn-manipulation.sh - Execute um dos quatro ataques de manipulação de números de sequência para provar (C1).

  • Tempo de execução esperado: cerca de 1 a 3 horas por combinação de cliente/variante.
  • Execução: Após iniciar o script, escolha um cliente, uma das quatro opções de ataque, e insira o deslocamento de manipulação N. Para provar (C1), insira N = 1.
  • Resultados: O ataque é concluído quando a barra de progresso é preenchida. Depois disso, aparecerá uma mensagem de erro porque o canal seguro está quebrado, pois o script não implementa nenhum truncamento de prefixo para completar o ataque.

• (E2a): scripts/test-ext-downgrade.sh - Execute o ataque de downgrade de extensão para provar (C2) para ChaCha20-Poly1305.

  • Tempo de execução esperado: cerca de 1 minuto.

  • Execução: Após iniciar o script, escolha uma combinação arbitrária de cliente e servidor. Depois, escolha a variante de ataque 1 para selecionar ChaCha20-Poly1305.

  • Resultados: O script será concluído abrindo os seguintes arquivos simultaneamente em less :

    1. diff dos arquivos 3 e 4
    2. diff dos arquivos 5 e 6
    3. Log do servidor (conexão não modificada)
    4. Log do servidor (conexão violada)
    5. Log do cliente (conexão não modificada)
    6. Log do cliente (conexão violada)
    7. Registro de proxy PoC

    Navegue até o segundo arquivo. O arquivo compara a saída do cliente SSH selecionado no caso de um ataque de downgrade de extensão com a saída de uma conexão não modificada. O diff indicará a presença de SSH_MSG_EXT_INFO e ausência de SSH_MSG_IGNORE apenas na conexão não modificada, provando assim (C2) para ChaCha20-Poly1305.

• (E2b): scripts/bench-ext-downgrade.sh - Execute o ataque de downgrade de extensão 10.000 vezes para provar (C2) para CBC-EtM (UNKNOWN e PING).

  • Tempo de execução esperado: cerca de 1 a 2 horas por combinação de cliente/variante.
  • Execução: Após iniciar o script, escolha entre as variantes UNKNOWN e PING do ataque e, em seguida, selecione entre o cliente OpenSSH e PuTTY. Uma barra de progresso mostrará o teste atual.
  • Resultados: depois de concluir todas as conexões de teste, o número de execuções de teste bem-sucedidas será enviado ao console. A taxa de sucesso relativa estará próxima dos valores reivindicados em (C2), comprovando assim as afirmações de funcionalidade e probabilidade de sucesso em (C2) no caso do CBC-EtM.

• (E3): scripts/test-asyncssh-rogue-ext-negotiation.sh

  • Tempo de execução esperado: cerca de 1 minuto.
  • Execução: O ataque é automático.
  • Resultados: o script será concluído abrindo um conjunto de sete arquivos em less . Consulte os resultados de (E2a) para obter uma lista de arquivos abertos. Navegue até o segundo arquivo. O diff indicará a presença da extensão server-sig-algs com valor escolhido pelo invasor na conexão adulterada, comprovando assim (C3).

• (E4): scripts/test-asyncssh-rogue-session-attack.sh

  • Tempo de execução esperado: cerca de 1 minuto.
  • Execução: O ataque é automático.
  • Resultados: o script será concluído abrindo um conjunto de sete arquivos em less . Consulte os resultados de (E2a) para obter uma lista de arquivos abertos. Navegue até o primeiro arquivo. A diferença indicará autenticação bem-sucedida para a vítima (conexão não modificada) e para o invasor (conexão adulterada), respectivamente. Depois, navegue até o segundo arquivo e examine a saída de cada conexão do cliente no final do arquivo. Na conexão não modificada, o servidor responderá com o nome de usuário da vítima, enquanto na conexão atacada, o servidor responderá com o nome de usuário do invasor. Isso comprova (C4).

Para usar scan_util.py, crie o contêiner docker executando o seguinte comando dentro da pasta scan :

docker build . -t terrapin-artifacts/scan-util

Avaliação de um arquivo de resultados zgrab2:

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util evaluate -i /files/sample.json -o /files/sample.acc.json

Remoção de endereços IP bloqueados de uma lista de endereços IP retornados pelo zmap:

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util filter-blocked-ips -i /files/zmap.csv -o /files/zmap-filtered.csv -b /files/blocklist.txt

Organizando o arquivo de resultados zgrab2 removendo entradas com falhas de conexão:

docker run --rm -v ./sample:/files terrapin-artifacts/scan-util tidy-zgrab2 -i /files/sample.json -o /files/sample-clean.json

1. Ao sair prematuramente de um script de teste (ou seja, por meio de uma interrupção do teclado), os contêineres não serão encerrados nem removidos do sistema. Isso pode afetar as execuções subsequentes de scripts de teste, pois os nomes dos contêineres são reutilizados nos scripts. Para evitar isso, execute scripts/cleanup-system.sh que remove quaisquer resultados intermediários e encerra e remove qualquer contêiner em execução relacionado a esses artefatos. Para reconstruir as imagens na próxima execução de um script de teste, especifique o sinalizador --full .
2. Os scripts PoC podem sair com um erro indicando que o endereço já está em uso. Isso pode ocorrer quando a execução de um script de teste foi interrompida anteriormente e outro script de teste é iniciado em rápida sucessão. Para resolver o problema, aguarde um tempo razoável entre as execuções (até 4 minutos) para permitir que o sistema limpe o ouvinte do soquete.

 .
├── impl
│   ├── asyncssh                 # AsyncSSH 2.13.2 (client / server) Dockerfile and additional files
│   ├── dropbear                 # Dropbear 2022.83 (client / server) Dockerfile and additional files
│   ├── libssh                   # libssh 0.10.5 (client / server) Dockerfile and additional files
│   ├── openssh                  # OpenSSH 9.4p1 / 9.5p1 (client / server) Dockerfile and additional files
│   ├── putty                    # PuTTY 0.79 (client only) Dockerfile and additional files
│   └── build.sh                 # Script to build all required implementation Docker images for reproducing our results
├── pocs                         # Proof of concept scripts
│   ├── sqn-manipulations        # Scripts related to sequence number manipulation (section 4.1)
│   ├── ext-downgrade            # Scripts related to the extension downgrade attack (section 5.2)
│   ├── asyncssh                 # Scripts related to AsyncSSH vulnerabilities (section 6)
│   ├── Dockerfile               # Multistage Dockerfile to build PoC docker images
│   └── build.sh                 # Script to build all required PoC Docker images for reproducing our results
├── scan                         # Files related to the internet-wide scan conducted
│   ├── paper                    # Directory containing the aggregated scan data referenced in the final version of the paper
│   ├── sample                   # Directory containing an anonymized zgrab2 ssh results sample to use with scan_util.py
│   ├── scan_util.py             # Utility script for aggregating zgrab2 ssh results
│   ├── requirements.txt         # pip requirements file for scan_util.py
│   └── Dockerfile               # Dockerfile to build a docker image running scan_util.py
├── scripts                      # Scripts for easier reproduction of our results presented in the paper
│   ├── bench-ext-downgrade.sh   # Benchmark script to evaluate the success rate of the CBC-EtM variant of the extension downgrade attack
│   ├── cleanup-system.sh        # A cleanup script which can be used to containers and images related to these artifacts
│   ├── start-wireshark.sh       # A convenience script to start Wireshark capturing on lo interface with SSH decoding and display filter
│   ├── test-asyncssh-rogue-ext-negotiation.sh
│   │                            # Test script for the AsyncSSH-specific rogue extension negotiation attack (section 6.1 / figure 6)
│   ├── test-asnycssh-rogue-session-attack.sh
│   │                            # Test script for the AsyncSSH-specific rogue session attack (section 6.2 / figure 7)
│   ├── test-ext-downgrade.sh    # Test script for the extension downgrade attack (section 5.2 / figure 5)
│   └── test-sqn-manipulation.sh # Test script for sequence number manipulation (section 4.1)
├── traces                       # PCAP traces of the PoC scripts
├── LICENSE
└── README.md

As seguintes bibliotecas de terceiros são usadas:

• Interface CLI: clique em
• Barra de progresso CLI: tqdm