Представители компании, runZero, работающей в области кибербезопасности, сообщили на конференции DEF CON 33  о результатах сканирования интернета с применением собственного инструментария с открытым исходным кодом SSHamble, которое обнаружило уязвимости в реализациях протокола безопасного доступа к удаленным компьютерам SSH, затрагивающие сетевое оборудование крупных поставщиков и многочисленные устройства корпоративных сетей. SSH второй по распространенности после HTTP протокол администрирования в интернете.

О серьезных уязвимостях SSH свидетельствуют инциденты, последнего года, которые, согласно runZero, демонстрируют изменение ландшафта угроз для этого протокола.

К примеру, атака Terrapin (CVE-2023-48795) показала, как злоумышленники могут манипулировать TCP-сессиями, чтобы заставить их использовать более слабые криптографические алгоритмы, что может поставить под угрозу целостность сеанса в любой уязвимой реализации SSH. Были выявлены бэкдор XZ Utils (CVE-2024-3094), а также уязвимости MOVEit (CVE-2024-5806) и RegreSSHion (CVE-2024-6387). Последняя оказалась особенно опасной, так как позволяла удаленно выполнять код без аутентификации. Она затронула множество систем Linux и сетевых устройств, работающих под управлением уязвимых версий OpenSSH.

В ходе комплексного сканирования IPv4-пространства авторы исследования обнаружили около 22 млн адресов с открытым портом 22 по сравнению с 27 млн в 2024 году. Из этих 22 млн устройств в 15,4 млн удалось пройти аутентификацию по SSH. Порт 22 — это сетевой порт, используемый по умолчанию для SSH.

На применение пакета OpenSSH и альтернативного сервера Dropbear приходится примерно 98% реализаций SSH,  а оставшиеся 2% осуществляются встроенными и сетевыми устройствами, а также специализированными приложениями, которые часто содержат уязвимости, что особенно опасно для таких критически важных компонентов инфраструктуры, как промышленные системы управления, сетевые устройства и решения для передачи файлов.

Авторы исследования предложили ряд рекомендаций, чтобы снизить риски и повысить уровень безопасности. Для реализаций SSH они настоятельно советуют: уделять особое внимание OpenSSH 9.8 или более новым версиям пакета; провести комплексную инвентаризацию SSH во всех сегментах сети; настроить мониторинг для обнаружения атак и разведывательных действий с использованием SSH; заменить аутентификацию по паролям аутентификацией по ключам с надлежащим управлением ключами; отслеживать повторное использование ключей хоста SSH в разных системах; внедрить сегментацию, чтобы ограничить доступ по SSH к административным сетям, и осуществлять удаленное управление через VPN или через бастион-хост.