regreSSHion – luka w SSH – zdalne wykonywanie poleceń root! CVE-2024-6387

CVE-2024-6387 to luka umożliwiająca zdalne wykonanie kodu (Remote Code Execution, RCE). Powoduje ona, że złośliwy atakujący może zdalnie uzyskać dostęp do systemu i uruchamiać na nim nieautoryzowane komendy, co może prowadzić do pełnego przejęcia kontroli nad zaatakowanym systemem. Szczególnie narażone są systemy, które nie zostały zaktualizowane do najnowszych, bezpiecznych wersji OpenSSH.

Wszystkie wersje OpenSSH poniżej 4.4p1 są podatne, a także wersje od 8.5p1 do 9.7p1. Jeśli używasz którejkolwiek z tych wersji, ważne jest, aby zaktualizować openSSH do wersji 9.8p1 lub nowszej, aby zabezpieczyć system przed tą podatnością.

Na czym polega CVE-2024-6387?

W OpenSSH występuję race-condition w obsłudze sygnałów w serwerze (sshd). Sytuacja ta występuje, gdy klient nie uwierzytelnia się w ciągu określonego czasu LoginGraceTime (domyślnie 120 sekund, w starszych wersjach OpenSSH 600 sekund). Dlatego szczególnie narażone są domyślne instalacje ssh. W takim przypadku, obsługiwany jest sygnał SIGALRM, który jest wywoływany asynchronicznie. Problem polega na tym, że ten handler sygnału wywołuje różne funkcje, które nie są bezpieczne w kontekście asynchronicznej obsługi sygnałów, na przykład syslog().

Złośliwy użytkownik mógłby potencjalnie wykorzystać tę lukę do przejęcia kontroli nad serwerem lub wykonania nieautoryzowanych operacji.

CVE-2024-6387 – które systemy są bezpieczne?

Więcej oficjalnych informacji w/s łatek znajdziesz pod linkami:

• Ubuntu: https://ubuntu.com/security/CVE-2024-6387
• Red Hat: https://access.redhat.com/security/cve/CVE-2024-6387
• Debian: https://security-tracker.debian.org/tracker/CVE-2024-6387
• AlmaLinux: https://almalinux.org/blog/2024-07-01-almalinux-9-cve-2024-6387/
• RockyLinux: https://rockylinux.org/news/2024-07-01-rocky-linux-9-cve-2024-6378-regression

Jeśli posiadasz serwer bez administracji – koniecznie zaktualizuj swoją maszynę.