Prima di scrivere questa notizia che riguarda PuTTY, il client SSH solitamente utilizzato dagli utenti Microsoft Windows, è stata fatta una ricerca per capire quante volte in passato sul portale abbiamo parlato del programma e la risposta è stata… Una sola!
Infatti precisamente nel settembre del 2022 raccontavamo di una versione contraffatta del programma che includeva un trojan usato per aprire backdoor ed oggi, purtroppo, raccontiamo di una nuova vulnerabilità che riguarda questa volta il programma stesso, e non una sua copia malevola, a cui è stata assegna la CVE CVE-2024-31497.
Scoperta dai ricercatori della Ruhr University di Bochum, in Germania, la falla è raccontata da Bleeping Computer e riassume quanto pubblicato da Fabian Bäumer e Marcus Brinkmann sulla mailing list oss-security.
Al centro del problema c’è la modalità con cui PuTTY genera i numeri univoci temporanei (detti “nonce“) utilizzati nel contesto dell’algoritmo di firma digitale ECDSA (Elliptic Curve Digital Signature Algorithm).
Quando è necessario autenticare una comunicazione, ad esempio durante il processo di connessione, il client e il server generano ciascuno un nonce il quale, utilizzato insieme alla propria chiave privata ed alla chiave pubblica dell’altro, consente la generazione di una firma digitale mediante l’algoritmo ECDSA.
Il client e il server verificano quindi reciprocamente le firme digitali utilizzando le rispettive chiavi pubbliche e i nonce ricevuti e, se la verifica ha esito positivo, la comunicazione può procedere.
Ad essere vulnerabile è quindi il processo utilizzato da PuTTY (dalla versione 0.68 alla versione 0.80) per generare i nonce che, come spiega in maniera approfondita l’articolo, diventa in qualche modo prevedibile, al punto da consentire ad un potenziale attacker di recuperare la chiave privata utilizzata per le connessioni e di impersonare l’utente a cui questa viene sottratta.
L’invito dato dal progetto PuTTY è quello di controllare se si utilizzano chiavi ECDSA e, nel caso, revocarle, attendendo poi la nuova versione di PuTTY che dovrebbe risolvere il problema.
Nella pagina dedicata alla vulnerabilità infine c’è una precisazione importante che tutti dovrebbero tenere presente: non importa se la chiave ECDSA usata sia stata generata da PuTTY o altrove (ad esempio via ssh-keygen), se questa è stata utilizzata con la versione affetta dalla vulnerabilità di PuTTY allora questa potrebbe esser stata compromessa, poiché come ormai dovrebbe essere chiaro, a rendere possibile il furto delle chiavi private è la generazione dei nonce di cui sopra.
Insomma, utenti Windows o utenti Linux all’ascolto: un controllino sulle proprie chiavi private potrebbe valere la pena.
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
English (US)