Vulnerabilità critica su PuTTY
04/16/2024
Proto: N240416
CERT-Yoroi informa che è stata resa nota una vulnerabilità critica su PuTTY che consente ad utenti malintenzionati di compromettere la chiave privata utilizzata per l'autenticazione nei servizi SSH.
PuTTY è un programma open-source per la connessione remota a computer o dispositivi di rete tramite protocolli come SSH, Telnet, rlogin e serial. È ampiamente utilizzato soprattutto su sistemi operativi Windows per accedere e gestire server Linux, router, switch e altri dispositivi di rete. PuTTY offre una semplice interfaccia grafica e funzionalità avanzate come il supporto per tunneling, la generazione di chiavi SSH e la gestione delle sessioni. È noto per la sua affidabilità, facilità d'uso e per essere leggero e veloce da avviare.
Tale vulnerabilità, pubblicata all’interno del security advisory e nota con l’identificativo CVE-2024-31497, può consentire ad un utente malintenzionato, in possesso di messaggi firmati e della chiave pubblica, di ottenere informazioni sufficienti per recuperare la chiave privata e falsificare le firme come se provenissero dall'utente, consentendo di accedere, ad esempio, a qualsiasi server per il quale la chiave è utilizzata .Per ottenere tali firme, un potenziale aggressore deve solo compromettere brevemente qualsiasi server per il quale si utilizza la chiave per l'autenticazione, o ottenere momentaneamente l'accesso a una copia di Pageant contenente la chiave. Tuttavia, tali firme non sono esposte a potenziali attacco “Man-In-The-Middle” passivi delle connessioni SSH. Di conseguenza, nel caso in cui si utilizzi una chiave con questa specifica, PuTTY consiglia vivamente di revocarla immediatamente. Per farlo, è necessario rimuovere la chiave pubblica compromessa da tutti i file authorized_keys di OpenSSH e dalle relative controparti presenti su altri server SSH, in modo che la firma della chiave compromessa non possa più essere utilizzata impropriamente. Successivamente, è consigliabile generare una nuova coppia di chiavi per sostituire quella compromessa e garantire la sicurezza delle connessioni SSH.
Il problema non riguarda il modo in cui la chiave è stata originariamente generata; non importa se proviene da PuTTYgen o da qualche altra parte. Ciò che conta è se è mai stata utilizzata con PuTTY o Pageant.
L’unica tipologia di chiave interessata è la 521-bit ECDSA. Ovvero, una chiave che appare in Windows PuTTYgen con ecdsa-sha2-nistp521 all'inizio della casella "Key fingerprint", oppure è identificata come "NIST p521" quando viene caricata in Windows Pageant, o ancora ha un ID che inizia con ecdsa-sha2- nistp521 nel protocollo SSH o nel file chiave. Altre dimensioni di ECDSA e altri algoritmi chiave non sono interessati, in particolare Ed25519.
Putty ha risolto la vulnerabilità che affligge le diverse versioni del software con la release rilasciata, la quale può essere scaricata tramite il portale ufficiale di download.
Di seguito le versioni afflitte dalla vulnerabilità:
- PuTTY, dalla versione 0.68 alla versione 0.80
Inoltre, si riporta una lista non completa di prodotti correlati vulnerabili:
- FileZilla, dalla versione 3.24.1 alla versione 3.66.5
- WinSCP, dalla versione 5.9.5 alla versione 6.3.2
- TortoiseGit, dalla versione 2.4.0.2 alla versione 2.15.0
- TortoiseSVN, dalla versione 1.10.0 alla versione 1.14.6
A questo proposito Yoroi suggerisce di tenere alto il monitoraggio e di eseguire le linee guida emanate e successivamente il patching alle versioni suggerite dal vendor.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi cyber security Index
