En arrière-plan, PuTTY est un émulateur de terminal open source que les développeurs utilisent pour accéder et gérer à distance des serveurs et d’autres périphériques en réseau via SSH. La vulnérabilité permet à un attaquant qui connaît la clé publique et environ 60 signatures ECDSA valides générées par un composant PuTTY sous la même clé de dériver la clé privée, qu’il peut ensuite utiliser pour se connecter à tous les serveurs SSH pour lesquels cette clé est utilisée. Bien que la vulnérabilité ait été corrigée dans PuTTY v0.81, les chercheurs ont déclaré que toutes les clés client NIST P-521 utilisées avec PuTTY doivent être considérées comme compromises et doivent être révoquées.

Sitaram Iyer, directeur principal, Cloud Native Solutions chez Venafi commente :

« La vulnérabilité découverte par les chercheurs de l’université de la Ruhr à Bochum met en évidence les risques associés aux clés SSH non gérées. La plupart des grandes organisations – dans les secteurs de la finance, des soins de santé, de la vente au détail et autres – disposent d’un grand nombre de clés SSH dans leur environnement. Ces clés sont utilisées comme mécanisme d’accès principal pour se connecter à divers serveurs, le plus souvent avec un client que les administrateurs connaissent et font confiance. Bien que l’accès à la signature à partir d’un serveur SSH nécessite de compromettre le serveur lui-même – ce qui signifie qu’il y a de plus gros problèmes à craindre –, il est assez simple d’examiner tous les commits Git publics et d’accéder aux signatures. L’absence d’une gestion adéquate des clés SSH peut potentiellement créer des vulnérabilités importantes, qui ont été identifiées dans le rapport interagences NIST 7966 (NISTIR 7966).

Bien qu’il soit important de s’assurer que tous les clients SSH sont équipés des dernières mises à jour logicielles, il est également essentiel que les organisations définissent des politiques et régissent toutes les clés SSH dans l’ensemble de l’entreprise. Une visibilité centralisée de toutes les identités SSH et la possibilité d’appliquer les politiques de clés SSH tout en découvrant en permanence les clés et en remédiant aux violations des politiques aideront les organisations à améliorer leur sécurité. Et pour éviter certains des risques et des complexités associés à la gestion des paires de clés SSH, il est préférable de commencer à utiliser des certificats SSH avec une courte période de validité – car un certificat SSH n’a aucune valeur si un ordinateur client ou un ordinateur portable est volé ou compromis. »