OpenSSH güvenli ağ paketinin belirli sürümleri, uzaktan kod yürütmeyi (RCE) tetikleyebilen yeni bir güvenlik açığına karşı hassastır.
CVE-2024-6409 (CVSS puanı: 7.0) olarak izlenen güvenlik açığı, CVE-2024-6387’den (diğer adıyla RegreSSHion) farklıdır ve bir kod yürütme vakasıyla ilgilidir. privsep alt süreci sinyal işlemedeki bir yarış durumu nedeniyle. Sadece Red Hat Enterprise Linux 9 ile birlikte gelen 8.7p1 ve 8.8p1 sürümlerini etkiler.
Solar Designer takma adını kullanan güvenlik araştırmacısı Alexander Peslyak, bu ayın başlarında Qualys tarafından açıklanan CVE-2024-6387 numaralı güvenlik açığının incelenmesi sırasında bulunan hatayı keşfedip bildiren kişi olarak kabul ediliyor.
“CVE-2024-6387’den temel fark, yarış koşulunun ve RCE potansiyelinin, ana sunucu işlemine kıyasla azaltılmış ayrıcalıklarla çalışan privsep alt işleminde tetiklenmesidir,” Peslyak söz konusu.
“Bu nedenle, anında etki daha düşüktür. Ancak, belirli bir senaryoda bu güvenlik açıklarının istismar edilebilirliğinde farklılıklar olabilir ve bu da bunlardan birini bir saldırgan için daha çekici bir seçenek haline getirebilir ve bunlardan yalnızca biri düzeltilirse veya azaltılırsa, diğeri daha önemli hale gelir.”
Ancak, sinyal işleyicisi yarış durumu güvenlik açığının, bir istemcinin LoginGraceTime saniyeleri (varsayılan olarak 120) içinde kimlik doğrulaması yapmaması durumunda, OpenSSH daemon işleminin SIGALRM işleyicisinin eşzamansız olarak çağrıldığı ve bu da eşzamansız sinyal açısından güvenli olmayan çeşitli işlevleri çağırdığı CVE-2024-6387 ile aynı olduğunu belirtmekte fayda var.
“Bu sorun, SSHD sunucusunun ayrıcalıksız alt öğesinde CVE-2024-6387 ile aynı güvenlik açığını ortaya çıkaran cleanup_exit() işlevindeki bir sinyal işleyici yarış koşuluna karşı savunmasız bırakıyor” diyor. zafiyet açıklaması.
“Başarılı bir saldırı sonucunda, en kötü senaryoda saldırgan, sshd sunucusunu çalıştıran ayrıcalıksız kullanıcı içerisinde uzaktan kod yürütme (RCE) gerçekleştirebilir.”
CVE-2024-6387 için etkin bir istismar o zamandan beri saptanmış vahşi doğada, öncelikle Çin’de bulunan sunucuları hedef alan bilinmeyen bir tehdit aktörü var.
“Bu saldırının ilk vektörü IP adresinden kaynaklanmaktadır 108.174.58[.]28İsrailli siber güvenlik şirketi Veriti, “güvenlik açığı bulunan SSH sunucularının istismarını otomatikleştirmek için istismar araçları ve betikleri listeleyen bir dizine ev sahipliği yaptığı bildirildi” dedi. söz konusu.
