SSH主要用於在客戶端和伺服器之間建立安全連線並保護資料的機密性和完整性 。因此若傳輸過程中沒有使安全加密演算法,則會有資料被截取的風險。因此會建議關閉不安全的加密套件及限制連線IP,以減少暴露在網路上被攻擊偷取資料的可能。
SSH(Secure Shell)是一種網路協議,可以讓一台電腦安全地連接到另一台電腦,即使是在不安全的網路(如互聯網)上。SSH透過共享的通訊協議,提供了安全的遠端存取和控制能力,無需實際接觸目標機器即可進行操作,使得遠端管理伺服器變得方便可行。然後,在使用SSH仍然存在一些安全風險,像是弱密碼、中間人攻擊、非法權限存取等風險。
因此,關閉SSH弱加密套件有助於降低資料被竊取之風險,確保敏感資訊免受未授權存取和攻擊的保護,另外也會建議啟用SSH日誌記錄和安全監控,以檢查異常活動和潛在的入侵嘗試,或使用多因素驗證方式登入(如SSH金鑰和密碼結合)可增加身份驗證的安全性,最後再適當配置防火牆和入侵防護系統可強化整體連線安全。
SSH是建立遠端連線和傳輸檔案的重要安全協定,但它歷史上曾因使用弱的加密演算法而遭受安全風險。現今為了保證SSH連線的安全,我們應該使用AES 128位元或256位元對稱加密、2048位元或更大金鑰的RSA或ECC非對稱加密,以及SHA-2系列或更強的雜湊演算法。
使用最新且經過驗證的SSH版本,並參考最佳安全實務來設定也很重要。這樣才能確保SSH提供可靠的加密與資料完整驗證,防範現代程式攻擊。相反地,如果使用過時或已被破解的弱加密演算法,像是DES、SHA-1或EXPORT等級的RSA,則會讓SSH連線容易遭受密碼破解或中間人攻擊等資安風險。
在2015年,Experian旗下的子公司T-Mobile US遭受了一次嚴重的資安攻擊。攻擊導致了數百萬T-Mobile US客戶的敏感資訊外洩,包括姓名、地址、社會安全號碼和出生日期等。
攻擊方式:
攻擊者是通過針對Experian子公司的網絡伺服器進行的攻擊,而該伺服器使用了不當的SSH設定。具體的攻擊步驟可能如下:
1.發現漏洞:攻擊者可能首先發現Experian子公司的伺服器,並可能使用端口掃描工具找到暴露的SSH服務。
2.嘗試入侵:一旦攻擊者確定SSH服務可訪問,他們可能開始使用暴力破解攻擊來嘗試破解伺服器的SSH帳號。這可能包括不斷嘗試不同的密碼,直到找到正確的。
3.成功入侵:如果伺服器使用弱密碼或者未設定防範暴力破解的措施,攻擊者可能成功登錄伺服器,獲取了未經授權的存取權。
4.取得敏感信息:一旦攻擊者取得伺服器存取權,他們可以訪問存儲在伺服器上的數據。在這種情況下,攻擊者可能訪問了存儲在伺服器上的T-Mobile客戶數據。
5.數據外洩:攻擊者將從伺服器上獲得的數據外洩,導致T-Mobile客戶的敏感信息被泄露。
攻擊方式:
在這次事件中,攻擊者成功入侵了GoDaddy用戶的網站,進一步查明了部分GoDaddy客戶的SSH密鑰。攻擊者可能是通過各種方式來獲得這些密鑰,可能包括利用弱密碼、利用已知漏洞或者通過社交工程攻擊,試圖欺騙用戶提供他們的SSH密鑰。
一旦GoDaddy確認了事件,他們迅速通知了受影響的客戶,並要求他們重置和更新他們的SSH密鑰。GoDaddy還強化了其安全性措施,以防止未來的類似事件發生。
描述:The PKCS#11 feature in ssh-agent in OpenSSH before 9.3p2 has an insufficiently trustworthy search path, leading to remote code execution if an agent is forwarded to an attacker-controlled system. (Code in /usr/lib is not necessarily safe for loading into ssh-agent.) NOTE: this issue exists because of an incomplete fix for CVE-2016-10009.
⚠️此漏洞允許攻擊者在遠程 SSH 代理上執行惡意代碼,並控制 SSH 代理的行為。此漏洞是由於CVE-2016-10009修補不完全而導致。⚠️
漏洞解決方案:
gentoo-linux-upgrade-net-misc-openssh
描述:OpenSSH 7.7 through 7.9 and 8.x before 8.1, when compiled with an experimental key type, has a pre-authentication integer overflow if a client or server is configured to use a crafted XMSS key. This leads to memory corruption and local code execution because of an error in the XMSS key parsing algorithm. NOTE: the XMSS implementation is considered experimental in all released OpenSSH versions, and there is no supported way to enable it when building portable OpenSSH.
⚠️此漏洞可能會導致「pre-authentication integer overflow」,這意味著攻擊者在身份驗證之前可以觸發整數溢位漏洞。如果客戶端或伺服器配置剛好有使用特定的製作的 XMSS 金鑰,則這可能導致記憶體損壞和本地程式碼執行⚠️
漏洞解決方案:
openbsd-openssh-upgrade-latest