「PuTTY」(putty.org)は有名なWindows版経由SSHクライアントソフトです。PuTTY日本語版は日本でUNIXサーバ管理者達がよく使っているSSHクライアントソフトです。
本日(つい最近)puTTYのSSHキー認証機能でプライベートキーとpassphraseを盗まれるセキュリティ問題が発見されました、問題の説明は下記となります。
「PuTTY」でSSHキー認証機能を使うとSSHセッションの接続前にSSHキーと「passphrase」情報が聞かれて、PuTTYソフトでphassphrase確認仕組みの確認問題があり、偽SSHサーバへ繋がれてしまう可能性が出ます。GUIでどのサーバに繋がっているかと確認情報が少ないから、偽SSHサーバのspoofセキュリティ攻撃可能性もあります。シナリオ的には例えば下記の情報となります↓
1. PuTTY Windows版ユーザーがPuTTYキー/passphrase認証設定で登録されているサーバ情報に接続ボタンを押します。
2. その登録されたサーバは実は最近ハッキングされて偽物SSHサービスに切替しまう状態でした(短くしますと「偽SSHサーバ」と呼びましょう)
3. PuTTYからの偽SSH繋ぎリクエストがサーバに来まます…
4. 認証キ情報が「偽SSHサーバ」に届いて、この時にクライアントのSSH認証キーが偽SSHサーバで見られまして、「偽SSHサーバ」は必ず「Wrong password」テキストデータをPuTTYクライアントに回答したら…
5. ユーザー側のPuTTYで「もう一度SSHキー/passphraseを入力下さい」とのプップアップが出ました。
6. ユーザーはその時に殆ど接続をリトライしSSHキー/passphraseの情報を手で入力して「偽SSHサーバ」にもう一度接続をしますと…。
7. 「偽SSHサーバ」が入力されたクラインとのpassphraseをゲットしてしまいます
※上記のシナリオのンサップショット画像は下記となります。
※上記の画像に書いた情報は偽SSHサーバからのスクリプトの回答でした↑
2. その登録されたサーバは実は最近ハッキングされて偽物SSHサービスに切替しまう状態でした(短くしますと「偽SSHサーバ」と呼びましょう)
3. PuTTYからの偽SSH繋ぎリクエストがサーバに来まます…
4. 認証キ情報が「偽SSHサーバ」に届いて、この時にクライアントのSSH認証キーが偽SSHサーバで見られまして、「偽SSHサーバ」は必ず「Wrong password」テキストデータをPuTTYクライアントに回答したら…
5. ユーザー側のPuTTYで「もう一度SSHキー/passphraseを入力下さい」とのプップアップが出ました。
6. ユーザーはその時に殆ど接続をリトライしSSHキー/passphraseの情報を手で入力して「偽SSHサーバ」にもう一度接続をしますと…。
7. 「偽SSHサーバ」が入力されたクラインとのpassphraseをゲットしてしまいます
※上記のシナリオのンサップショット画像は下記となります。
※上記の画像に書いた情報は偽SSHサーバからのスクリプトの回答でした↑
この問題が出たらどうやって分かるのか?本物SSHサーバと違いは何でしょうか?
1. 本物サーバですとWrong Passwordの回答が直ぐに出ます、偽SSHサーバ仕組みは少しディレーがかかる
2. Password/Passphraseはずっと上手く行かない
3. Password/Passphraseのpromptの情報は認証キー名前の情報のままとなる、いつもののpromptと違う状況
2. Password/Passphraseはずっと上手く行かない
3. Password/Passphraseのpromptの情報は認証キー名前の情報のままとなる、いつもののpromptと違う状況
本件のセキュリティ問題について下記のソフトに影響があります↓
「GUI Plink」と「PuTTY」のSSH認証キー仕組み
OS: Windows
OS: Windows
ワークアラウンド↓
直接SSHサーバと認証キーやり取りを無しにすれば本件の問題が解決です、詰りPageant Agentを使って下さい
リファレンス↓
http://www.chiark.greenend.org.uk/~sgtatham/putty/wishlist/gui-auth.html
http://seclists.org/fulldisclosure/2010/May/405
http://seclists.org/fulldisclosure/2010/May/405
---
株式会社ケイエルジェイテック
http://www.kljtech.com
セキュリティモニターセンター
0 件のコメント:
コメントを投稿