Af Eskil Sørensen, 02/07/24
Qualys Threat Research Unit har opdaget en remote code execution-sårbarhed ((RCE) i OpenSSHs server (sshd) i glibc-baserede Linux-systemer.
Dette fremgår af en blogpost fra Qualys.
Sårbarheden betegnes som kritisk og har fået id’et CVE-2024-6387.
Sårbarheden er en ”signal race condition” i OpenSSHs server (sshd), der gør det muligt for en uautoriseret angriber at fjernafvikle kode som ”root” på glibc-baserede Linux-systemer. Denne race-tilstand påvirker sshd i dens standardkonfiguration.
Den mere teknisk beskrivelse forklarer, at der er observeret en "signal handler race condition" i OpenSSH's server (sshd), hvor klienten ikke autentificerer inden for "LoginGraceTime" sekunder (120 som standard, 600 i gamle OpenSSH versioner), som asynkront kalder sshd's SIGALRM handleren. "Signalhandleren" kalder forskellige funktioner, der ikke er asynkron-signalsikre, for eksempel syslog(), hvilket potentielt kan medføre, at man kommer "sidelæns" ud af processen og får adgang til det underliggende operativsystem som root. OpenBSD er ikke berørt af sårbarheden, da de allerede i 2001 udviklede en mekanisme til forebyggelse af sårbarheden.
En gammel kending dukker op igen
Qualys har ved hjælp af søgninger i Censys og Shodan fundet frem til, at der er over 14 millioner potentielt sårbare OpenSSH-serverforekomster, som er eksponeret ud mod internettet. Af disse skal ca. 700.000 eksterne internet-vendte instanser være sårbare.
Sårbarheden er en gammel kending – en regression af en tidligere patchet sårbarhed CVE-2006-5051, som blev indrapporteret i 2006. En regression betyder i denne sammenhæng, at en fejl efter at være blevet rettet, dukker op igen i en efterfølgende softwareudgivelse. Det sker typisk på grund af ændringer eller opdateringer, der utilsigtet genintroducerer problemet.
Det fremgår af Qualys blogpost, at teamet har udviklet en fungerende udnyttelse til regreSSHion-sårbarheden, som de har vist til OpenSSH-teamet. Den er ikke frigivet, men det vurderes, at også andre researchere vil være i stand til at udvikle tilsvarende udnyttelser.
Det anbefales at opdatere instanser med nævnte software for at lukke for anvendelsen af sårbarheden. Referencer hertil fremgår af linket til cve.mitre.org neden for.
Links:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387
https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regre...