Il client SSH PuTTY ha una brutta vulnerabilità che consente il furto delle chiavi private

PuTTY

Prima di scrivere questa notizia che riguarda PuTTY, il client SSH solitamente utilizzato dagli utenti Microsoft Windows, è stata fatta una ricerca per capire quante volte in passato sul portale abbiamo parlato del programma e la risposta è stata… Una sola!

Infatti precisamente nel settembre del 2022 raccontavamo di una versione contraffatta del programma che includeva un trojan usato per aprire backdoor ed oggi, purtroppo, raccontiamo di una nuova vulnerabilità che riguarda questa volta il programma stesso, e non una sua copia malevola, a cui è stata assegna la CVE CVE-2024-31497.

Scoperta dai ricercatori della Ruhr University di Bochum, in Germania, la falla è raccontata da Bleeping Computer e riassume quanto pubblicato da Fabian Bäumer e Marcus Brinkmann sulla mailing list oss-security.

Al centro del problema c’è la modalità con cui PuTTY genera i numeri univoci temporanei (detti “nonce“) utilizzati nel contesto dell’algoritmo di firma digitale ECDSA (Elliptic Curve Digital Signature Algorithm).

Quando è necessario autenticare una comunicazione, ad esempio durante il processo di connessione, il client e il server generano ciascuno un nonce il quale, utilizzato insieme alla propria chiave privata ed alla chiave pubblica dell’altro, consente la generazione di una firma digitale mediante l’algoritmo ECDSA.

Il client e il server verificano quindi reciprocamente le firme digitali utilizzando le rispettive chiavi pubbliche e i nonce ricevuti e, se la verifica ha esito positivo, la comunicazione può procedere.

Ad essere vulnerabile è quindi il processo utilizzato da PuTTY (dalla versione 0.68 alla versione 0.80) per generare i nonce che, come spiega in maniera approfondita l’articolo, diventa in qualche modo prevedibile, al punto da consentire ad un potenziale attacker di recuperare la chiave privata utilizzata per le connessioni e di impersonare l’utente a cui questa viene sottratta.

L’invito dato dal progetto PuTTY è quello di controllare se si utilizzano chiavi ECDSA e, nel caso, revocarle, attendendo poi la nuova versione di PuTTY che dovrebbe risolvere il problema.

Nella pagina dedicata alla vulnerabilità infine c’è una precisazione importante che tutti dovrebbero tenere presente: non importa se la chiave ECDSA usata sia stata generata da PuTTY o altrove (ad esempio via ssh-keygen), se questa è stata utilizzata con la versione affetta dalla vulnerabilità di PuTTY allora questa potrebbe esser stata compromessa, poiché come ormai dovrebbe essere chiaro, a rendere possibile il furto delle chiavi private è la generazione dei nonce di cui sopra.

Insomma, utenti Windows o utenti Linux all’ascolto: un controllino sulle proprie chiavi private potrebbe valere la pena.

790f89849d535c46ddf9fb9b8fa033b4?s=150&d=mp&r=g
Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.

Fonte: https://www.miamammausalinux.org/2024/04/il-client-ssh-putty-ha-una-brutta-vulnerabilita-che-consente-il-furto-delle-chiavi-private/

Visited 21 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.