Kritická bezpečnostná zraniteľnosť v OpenSSH

August 13, 2024

Vývojári nástroja OpenSSH vydali bezpečnostnú aktualizáciu, ktorá opravuje kritickú bezpečnostnú zraniteľnosť. Zraniteľnosť možno zneužiť na vzdialené vykonanie kódu a získanie úplnej kontroly nad zraniteľným systémom.

AKTUALIZACIA
Aktualizácia k 13.08.2024: Vývojári operačného systému FreeBSD vydali bezpečnostné aktualizácie, ktoré opravujú ďalší variant tejto zraniteľnosti s označením CVE-2024-7589, ktorý možno taktiež zneužiť na vzdialené vykonanie škodlivého kódu.

Aktualizácia k 15.07.2024: CVE-2024-6387 je v súčasnosti aktíve zneužívaná útočníkmi. Bezpečnostní výskumníci počas jej detailnej analýzy odhalili aj jej menej závažný variant s označením CVE-2024-6409, ktorý taktiež možno zneužiť na vykonanie kódu.

Zraniteľné systémy:

CVE-2024-7589

OpenSSH modul na operačných systémoch FreeBSD vo verzii staršej ako 14.1-STABLE, 14.1-RELEASE-p3, 14.0-RELEASE-p9, 13.3-STABLE, 13.3-RELEASE-p5

CVE-2024-6387

OpenSSH vo verzii od 8.5p1 po 9.7p1 (vrátane)
OpenSSH vo verzii staršej ako 4.4p1 bez aplikovaných záplat pre zraniteľnosti CVE-2006-5051 a CVE-2008-4109

Pozn. Zraniteľnosť je možné preukázateľne zneužiť na operačných systémoch LINUX na báze knižnice glibc. Operačné systémy OpenBSD nie sú zasiahnuté.

CVE-2024-6409

· OpenSSH vo verziách 8.7p1 a 8.8p1

Pozn. Uvedené verzie sú súčasťou balíkov operačného systému Rad Hat Enterprise Linux 9.

Opis zraniteľnosti:

CVE-2024-7589 (CVSS skóre 8.1)
Zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera signálov v procese sshd(8), ktorý možno prostredníctvom zaslania špeciálne vytvorených požiadaviek zneužiť na vzdialené vykonanie škodlivého kódu s oprávneniami používateľa root a získanie úplnej kontroly nad systémom. Jedná sa o ďalší variant zraniteľnosti CVE-2024-6387.

CVE-2024-6387 (CVSS skóre 9,8)

Kritická zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera SIGALRM procesu sshd. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie škodlivého kódu s oprávneniami používateľa root. Úspešným zneužitím CVE-2024-6387 možno získať úplnú kontrolu nad systémom. Na zraniteľnosť je dostupný proof-of-concept kód demonštrujúci návod na jej zneužitie a v súčasnosti je aktívne zneužívaná. Zraniteľnosť dostala názov „regreSSHion“.

CVE-2024-6409 (CVSS skóre 7,0)

Zraniteľnosť za špecifických podmienok vedie k vzniku súbehu pri spracovávaní signálov v rámci handlera SIGALRM procesu privsep. Vzdialený neautentifikovaný útočník by ju prostredníctvom zaslania špeciálne vytvorených požiadaviek mohol zneužiť na vzdialené vykonanie škodlivého kódu. Zraniteľnosť bezpečnostní výskumníci odhalili počas dodatočnej analýzy kritickej zraniteľnosti CVE-2024-6387.

Možné škody:

Vzdialené vykonanie kódu
Neoprávnený prístup do systému
Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom a používateľom odporúčame bezodkladne aktualizovať OpenSSH na verziu 9.8p1 alebo novšiu. V prípade, že aktualizáciu nemožno vykonať, zraniteľnosť možno dočasne mitigovať úplným zákazom SSH prístupov prostredníctvom sieťových a bezpečnostných prvkov alebo nastavením premennej LoginGraceTime na hodnotu 0 v konfiguračnom súbore sshd. Zmena konfigurácie však zraniteľné systémy vystavuje riziku zneprístupnenia služby.

Taktiež odporúčame preveriť prítomnosť indikátorov kompromitácie v rámci logov sieťových a bezpečnostných prvkov a ich blokovanie.

Indikátory kompromitácie (IOC):