SSH 服務(wù)器
SSH服務(wù)器指的是Secure Shell服務(wù)器���,是一種安全的加密網(wǎng)絡(luò)協(xié)議��。它的作用是在不安全的網(wǎng)絡(luò)中建立安全的傳輸��,使得數(shù)據(jù)能夠在互聯(lián)網(wǎng)上進(jìn)行加密傳輸����,從而保證通信的安全性。簡(jiǎn)單來說�,ssh服務(wù)器就是一臺(tái)安全的遠(yuǎn)程登錄服務(wù)器。
SSH服務(wù)器最常見的使用場(chǎng)景就是遠(yuǎn)程登錄��,同時(shí)也可以用于文件傳輸�、執(zhí)行遠(yuǎn)程命令等。實(shí)際上���,SSH服務(wù)器作為一種安全協(xié)議被廣泛應(yīng)用于服務(wù)器的操作和管理上���。在使用SSH服務(wù)器時(shí),用戶需要用到一種叫做ssh客戶端的應(yīng)用程序�,該應(yīng)用程序可以幫助用戶連接到SSH服務(wù)器。
SSH服務(wù)器有許多優(yōu)勢(shì)��。首先�,其加密傳輸能夠避免敏感信息的泄漏����,而且安全性得到了很好的保障�����。此外�����,SSH服務(wù)器可以跨平臺(tái)使用�����,不受操作系統(tǒng)的限制���,也不需要安裝額外的應(yīng)用程序��。最后,SSH服務(wù)器可以通過公鑰認(rèn)證等技術(shù)增強(qiáng)權(quán)限管理�����,使得管理者對(duì)操作數(shù)據(jù)的敏感級(jí)別更為精細(xì)�����,更能夠保障數(shù)據(jù)的安全。
什么是“水龜攻擊”
“水龜攻擊”是德國(guó)波鴻魯爾大學(xué)安全研究人員開發(fā)的新攻擊技術(shù)�����,��。利用了SSH傳輸層協(xié)議的弱點(diǎn)���,并結(jié)合了OpenSSH十多年前引入的較新的加密算法和加密模式����。后者已被廣泛的SSH實(shí)現(xiàn)所采用����,因此影響當(dāng)前的大多數(shù)SSH實(shí)例。
“水龜攻擊”會(huì)在握手過程中操縱序列值�����,損害SSH通道的完整性����,特別是在使用ChaCha20-Poly1305或帶有Encrypt-then-MAC的CBC等特定加密模式時(shí)����。與攻擊相關(guān)的三個(gè)漏洞的編號(hào)為:CVE-2023-48795�、CVE-2023-46445和CVE-2023-46446。
攻擊者可降級(jí)用于用戶身份驗(yàn)證的公鑰算法��,并禁用OpenSSH9.5中針對(duì)擊鍵計(jì)時(shí)攻擊的防御�。
“水龜攻擊”的一個(gè)重要前提是攻擊者需要處于中間人(MiTM)位置來攔截和修改握手交換。這意味著“水龜攻擊“的威脅并不是特別嚴(yán)重�。在許多情況下,修補(bǔ)CVE-2023-48795可能不是優(yōu)先事項(xiàng)��。
但值得注意的是�����,攻擊者經(jīng)常會(huì)先入侵目標(biāo)網(wǎng)絡(luò)��,并潛伏等待合適的時(shí)機(jī)實(shí)施水龜攻擊�。
全球有上千萬臺(tái)SSH服務(wù)器存在漏洞
安全威脅監(jiān)控平臺(tái)Shadowserver的報(bào)告顯示,互聯(lián)網(wǎng)上有近1100萬臺(tái)暴露的SSH服務(wù)器很容易受到“水龜攻擊”�����,約占Shadoserver監(jiān)控的IPv4和IPv6空間中所有掃描樣本的52%�����。
大多數(shù)易受攻擊的系統(tǒng)位于美國(guó)(330萬個(gè))���,其次是我國(guó)(130萬個(gè))�����、德國(guó)(100萬個(gè))���、俄羅斯(70萬個(gè))、新加坡(39萬個(gè))和日本(38萬個(gè))�。
雖然并非所有1100萬個(gè)SSH服務(wù)器實(shí)例都面臨立即受到攻擊的風(fēng)險(xiǎn),但這至少表明對(duì)手有大量可供選擇的目標(biāo)實(shí)例�。
波鴻魯爾大學(xué)團(tuán)隊(duì)發(fā)布了一個(gè)“水龜攻擊“漏洞掃描器(https://github.com/RUB-NDS/Terrapin-Scanner),可幫助用戶檢查SSH客戶端或服務(wù)器是否存在水龜攻擊漏洞��。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
