Quase 11 milhões de servidores SSH expostos na internet estão vulneráveis a um novo ataque chamado “Terrapin”, que compromete a integridade de algumas conexões SSH.
Desenvolvido por pesquisadores acadêmicos da Universidade Ruhr Bochum, na Alemanha, o Terrapin manipula números de sequência durante o processo de handshake para violar a integridade do canal SSH, especialmente quando modos de criptografia específicos como ChaCha20-Poly1305 ou CBC com Encrypt-then-MAC são usados.
Isso permite que um atacante reduza o nível de segurança dos algoritmos de chave pública para autenticação de usuários e desative as defesas contra ataques de temporização de keystrokes no OpenSSH 9.5.
Para realizar o ataque, o invasor precisa estar em uma posição de “adversário intermediário” (AitM) para interceptar e modificar a troca de handshake. É importante ressaltar que agentes maliciosos frequentemente comprometem redes de interesse e aguardam o momento certo para avançar em seus ataques.
Um relatório recente da plataforma de monitoramento de ameaças de segurança Shadowserver alerta que quase 11 milhões de servidores SSH na internet pública – identificados por endereços IP únicos – estão vulneráveis a ataques Terrapin.
Isso representa aproximadamente 52% de todas as amostras escaneadas no espaço IPv4 e IPv6 monitorado pela Shadowserver.
A maioria dos sistemas vulneráveis foi identificada nos Estados Unidos (3,3 milhões), seguida por China (1,3 milhão), Alemanha (1 milhão), Rússia (700.000), Singapura (390.000) e Japão (380.000).
No Brasil, o número de servidores SSH expostos é estimado em 1,7 milhão. Portanto, é possível estimar que cerca de 900 mil servidores SSH no Brasil estão vulneráveis ao ataque Terrapin.
Essa estimativa é apenas aproximada, pois não leva em consideração fatores como o uso de criptografia ou configurações específicas de cada servidor. No entanto, ela fornece uma ideia da magnitude do problema no Brasil.
É importante ressaltar que nem todos os servidores vulneráveis estão necessariamente em risco imediato de ataque. No entanto, é recomendado que os administradores de sistemas verifiquem a vulnerabilidade de seus servidores SSH e tomem as medidas necessárias para mitigá-la.
Para verificar a vulnerabilidade de um servidor SSH, é possível usar o scanner de vulnerabilidade desenvolvido pela equipe da Universidade Ruhr Bochum. O scanner está disponível no site do projeto Terrapin.