Dilansir oleh Kavita Iyer, 4 januari lalu menerangkan bahwa Peneliti keamanan di Universitas Ruhr Bochum Jerman dua minggu lalu menemukan kerentanan dalam protokol jaringan kriptografi Secure Shell (SSH) yang memungkinkan penyerang menurunkan tingkat keamanan koneksi yang dijalankan oleh protokol tersebut.
Terrapin adalah sebuah kerentanan keamanan yang mempengaruhi protokol SSH. Kerentanan ini memungkinkan penyerang untuk memanipulasi pesan yang dikirimkan antara klien dan server SSH, sehingga beberapa fitur keamanan dapat dinonaktifkan atau dikurangi.
Disebut Terrapin ( CVE-2023-48795 , skor CVSS 5.9), eksploitasi ini adalah serangan pemotongan awalan, di mana beberapa paket terenkripsi di awal saluran SSH dapat dihapus tanpa disadari oleh klien atau server.
Hal ini dicapai selama proses jabat tangan di mana nomor urut dimanipulasi ketika membuat koneksi SSH dan pesan yang dipertukarkan antara klien dan server kemudian dihapus secara khusus.
Untuk melakukan serangan Terrapin, penyerang harus berada dalam posisi musuh di tengah (juga disingkat AitM dan dikenal sebagai man-in-the-middle atau MitM) di lapisan jaringan untuk mencegat dan memodifikasi pertukaran jabat tangan, dan koneksi harus diamankan oleh ChaCha20-Poly1305 atau CBC dengan Encrypt-then-MAC.
“Dalam praktiknya, serangan dapat dilakukan, memungkinkan penyerang menurunkan tingkat keamanan koneksi dengan memotong pesan negosiasi ekstensi (RFC8308) dari transkripnya,” jelas para peneliti dalam makalah mereka.
“Pemotongan ini dapat menyebabkan penggunaan algoritme autentikasi klien yang kurang aman dan menonaktifkan tindakan pencegahan spesifik terhadap serangan timing penekanan tombol di OpenSSH 9.5.”
Kini, pemindaian terbaru oleh platform pemantauan ancaman keamanan Shadowserver memperingatkan bahwa ada hampir 11 juta alamat IP yang mengekspos server SSH yang rentan terhadap serangan Terrapin.
Hampir sepertiga dari alamat tersebut, yaitu 3,3 juta, teridentifikasi di Amerika Serikat, diikuti oleh Tiongkok (1,3 juta), Jerman (1 juta), Rusia (700,000), Singapura (390,000), dan Jepang (380,000).
Ini mewakili sekitar 52% dari seluruh alamat IPv4 dan IPv6 yang dianalisis oleh sistem pemantauan Shadowserver Foundation.
Meskipun tidak semua 11 juta server SSH (berdasarkan IP unik) berisiko langsung diserang mengingat kondisi serangan Terrapin, hal ini masih menyisakan banyak kemungkinan untuk dieksploitasi oleh penjahat dunia maya.
Peneliti Ruhr University Bochum telah menyediakan pemindai kerentanan pada repositori GitHub untuk pengguna Linux, Windows, dan macOS yang ingin memeriksa apakah klien atau server SSH mereka rentan terhadap Terrapin.
