Una grave vulnerabilità è stata individuata in PuTTY, un noto client open source per la gestione remota di sistemi informatici attraverso i protocolli SSH, Telnet e rlogin. La falla, dovuta a un’errata implementazione del protocollo ECDSA (NIST P-521), comporta la generazione di chiavi di crittografia asimmetrica non conformi allo standard. Ne consegue che potenziali attaccanti, tramite tecniche di attacco sofisticate, potrebbero analizzare quanto cifrato con tali chiavi per ricostruire la secret key.
La vulnerabilità, identificata con il codice CVE-2024-31497 e classificata con un alto grado di rischio, è stata riscontrata nelle versioni di PuTTY comprese tra la 0.68 e la 0.80. Inoltre, sono stati individuati altri software correlati che potrebbero essere vulnerabili, quali FileZilla, WinSCP, TortoiseGit e TortoiseSVN, in varie versioni.
Questa vulnerabilità è stata classificata come “Information Disclosure” e presenta un rischio significativo per la comunità di utenti interessata. La possibilità di generare chiavi di crittografia compromesse potrebbe portare a gravi conseguenze in termini di sicurezza delle informazioni e riservatezza dei dati.
Per mitigare questa vulnerabilità, il CSIRT Italia raccomanda di aggiornare tempestivamente i software vulnerabili seguendo le indicazioni riportate nel bollettino di sicurezza nella sezione Riferimenti.
Evidenzia inoltre che tutte le coppie di chiavi ECDSA – NIST P-521 generate tramite le versioni del software vulnerabili sono da considerarsi compromesse e raccomanda di sostituire tali chiavi con nuove coppie generate con le versioni aggiornate dei prodotti vulnerabili.
https://www.csirt.gov.it/contenuti/vulnerabilita-in-putty-al01-240416-csirt-ita
