Protokół SCP (ang. Secure Copy) został stworzony w połowie lat dziewięćdziesiątych jako sposób na szyfrowane przesyłanie plików pomiędzy urządzeniami. W protokole zaimplementowano obsługę SSH oraz polecenie „cp”, co stanowi bezpieczniejszą alternatywę dla FTP i RCP. SCP wspiera szyfrowanie, aczkolwiek nie wspiera uwierzytelnienia i właśnie to, co odkrył pracownik F-Secure, jest powiązane z brakiem sprawdzania tożsamości.
Badanie przeprowadzone przez starszego konsultanta ds. bezpieczeństwa w F-Secure wykazały liczne luki w klientach WinSCP, Putty PSCP i OpenSSH. Zaprezentowany atak pokazuje, że można zapisywać i zastępować pliki w katalogu docelowym klienta SCP, zmieniać uprawnienia tegoż katalogu i podszywać się pod dane wyjściowe klienta. Badania Harry’ego Sintonena pokazały, że osoba atakująca może wykorzystać te luki do zainstalowania backdoora lub innego złośliwego oprogramowania w sieci firmowej oraz do kradzieży poufnych informacji, lub wykonania praktycznie dowolnej innej akcji.
Harry przedstawił swoje badania i zaprezentował PoC podczas tegorocznej konferencji Disobey w Helsinkach:
Harry wspomina, że luki w zabezpieczeniach nie są poważne, ale oznaczają, że teoretycznie bezpieczny SCP może być bardziej zawodny, niż sądzono do tej pory.
Użytkownicy muszą ręcznie zweryfikować tożsamość hosta przy pierwszym połączeniu, pozostawiając miejsce na błąd. Luki w implementacjach SCP ułatwiają atakującemu nadpisywanie plików w katalogu docelowym. Tak więc, jeśli atakujący może znaleźć się pomiędzy klientem SCP a serwerem — lub oszukać klienta w łączeniu się ze złośliwym serwerem poprzez wyłudzanie informacji lub podszywanie się pod DNS lub coś podobnego — to możliwe jest trywialne wykonanie złośliwych poleceń.
Firmy muszą wiedzieć, że klient SCP nie sprawdza cyfrowego odcisku palca klienta automatycznie. Można przyjąć, że praktycznie nikt tego nie sprawdza, więc napastnicy będą mogli efektywnie korzystać z tego rodzaju taktyki.
— wyjaśnia Harry Sintonen.
Powodów do paniki nie ma. Luki nie są na tyle groźne, aby umożliwić zmasowane ataki. Niemniej zawsze jest to dodatkowa metoda, by dostać się do firmowych serwerów lub ujawnić luki w testach red teamingu. Zaleca się porzucenie SCP i korzystanie z SFTP.
Więcej informacji na temat łatek i luk można znaleźć w poradniku Harry’ego: https://sintonen.fi/advisories/scp-client-multiple-vulnerabilities.txt
