Un nuevo estudio ha demostrado que es posible que los atacantes obtengan claves de host RSA privadas de un servidor SSH vulnerable mediante la observación de los fallos computacionales que se producen de forma natural mientras se establece la conexión.
El protocolo Secure Shell (SSH) es un método para transmitir comandos de forma segura e iniciar sesión en una computadora a través de una red no segura. Basado en una arquitectura cliente-servidor, SSH utiliza criptografía para autenticar y cifrar las conexiones entre dispositivos.
Una clave de host es una clave criptográfica que se utiliza para autenticar equipos en el protocolo SSH. Las claves de host son pares de claves que normalmente se generan mediante criptosistemas de clave pública como RSA.
“Si una implementación de firma que utiliza CRT-RSA tiene una falla durante el cálculo de la firma, un atacante que observe esta firma puede ser capaz de calcular la clave privada del firmante”, dijo un grupo de académicos de la Universidad de California, San Diego, y el Instituto de Tecnología de Massachusetts en un artículo este mes.
En otras palabras, un adversario pasivo puede realizar un seguimiento silencioso de las conexiones legítimas sin arriesgarse a ser detectado hasta que observe una firma defectuosa que exponga la clave privada. A continuación, el actor malintencionado puede hacerse pasar por el host comprometido para interceptar datos confidenciales y organizar ataques de adversary-in-the-middle (AitM).
Los investigadores describieron el método como un ataque de falla de recuperación de claves basado en celosía, que les permitió recuperar las claves privadas correspondientes a 189 claves públicas RSA únicas que posteriormente se rastrearon hasta dispositivos de cuatro fabricantes: Cisco, Hillstone Networks, Mocana y Zyxel.
Vale la pena señalar que el lanzamiento de la versión 1.3 de TLS en 2018 actúa como una contramedida al cifrar el protocolo de enlace que establece la conexión, evitando así que los espías pasivos accedan a las firmas.
“Estos ataques proporcionan una ilustración concreta del valor de varios principios de diseño en criptografía: cifrar los protocolos de enlace tan pronto como se negocia una clave de sesión para proteger los metadatos, vincular la autenticación a una sesión y separar la autenticación de las claves de cifrado”, dijeron los investigadores.
Los hallazgos se producen dos meses después de la revelación de Marvin Attack, una variante del ataque ROBOT (abreviatura de “Return Of Bleichenbacher’s Oracle Threat”) que permite a un actor de amenazas descifrar textos cifrados RSA y falsificar firmas explotando las debilidades de seguridad en PKCS # 1 v1.5.
