Kritická bezpečnostná zraniteľnosť v OpenSSH

Vývojári nástroja OpenSSH vydali bezpečnostnú aktualizáciu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Zraniteľnosť možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad zraniteľným systémom.

Aktualizácia k 15.07.2024: CVE-2024-6387 je v súčasnosti aktíve zneužívaná útočníkmi. Bezpečnostní výskumníci počas jej detailnej analýzy odhalili aj jej menej závažný variant s označením CVE-2024-6409, ktorý taktiež možno zneužiť na vykonanie kódu.

Zraniteľné systémy:

CVE-2024-6387

  • OpenSSH vo verzii od 8.5p1 po 9.7p1 (vrátane)
  • OpenSSH vo verzii staršej ako 4.4p1 bez aplikovaných záplat pre zraniteľnosti CVE-2006-5051 a CVE-2008-4109

Pozn. Zraniteľnosť je možné preukázateľne zneužiť na operačných systémoch LINUX na báze knižnice glibc. Operačné systémy OpenBSD nie sú zasiahnuté.

CVE-2024-6409

·         OpenSSH vo verziách 8.7p1 a 8.8p1

Pozn. Uvedené verzie sú súčasťou balíkov operačného systému Rad Hat Enterprise Linux 9.

Opis zraniteľnosti:

CVE-2024-6387 (CVSS skóre 9,8)

Kritická zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera SIGALRM procesu sshd. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie škodlivého kóduoprávneniami používateľa root. Úspešným zneužitím CVE-2024-6387 možno získať úplnú kontrolu nad systémom. Na zraniteľnosť je dostupný proof-of-concept kód demonštrujúci návod na jej zneužitie a v súčasnosti je aktívne zneužívaná. Zraniteľnosť dostala názov „regreSSHion“.

CVE-2024-6409 (CVSS skóre 7,0)

Zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera SIGALRM procesu privsep. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie škodlivého kódu. Zraniteľnosť bezpečnostní výskumníci odhalili počas dodatočnej analýzy kritickej zraniteľnosti CVE-2024-6387.

Možné škody:

  • Vzdialené vykonanie kódu
  • Neoprávnený prístup do systému
  • Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladne aktualizovať OpenSSH na verziu 9.8p1 alebo novšiu. V prípade, že aktualizáciu nemožno vykonať, zraniteľnosť možno dočasne mitigovať úplným zákazom SSH prístupov prostredníctvom sieťových a bezpečnostných prvkov alebo nastavením premennej LoginGraceTime na hodnotu 0 v konfiguračnom súbore sshd. Zmena konfigurácie však zraniteľné systémy vystavuje riziku zneprístupnenia služby.

Taktiež odporúčame preveriť prítomnosť indikátorov kompromitácie v rámci logov sieťových a bezpečnostných prvkov a ich blokovanie.

Indikátory kompromitácie (IOC):

  • 108.174.58[.]28

Zdroje:

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

https://www.openssh.com/releasenotes.html#9.8p1

https://www.bleepingcomputer.com/news/security/new-regresshion-openssh-rce-bug-gives-root-on-linux-servers/

https://thehackernews.com/2024/07/new-openssh-vulnerability-could-lead-to.html

https://exchange.xforce.ibmcloud.com/vulnerabilities/296064

https://thehackernews.com/2024/07/new-openssh-vulnerability-discovered.html

https://www.openwall.com/lists/oss-security/2024/07/08/2

https://access.redhat.com/errata/RHSA-2024:4457