Zjištěna nová chyba zabezpečení OpenSSH: Potenciální riziko vzdáleného spuštění kódu

Různé verze sady zabezpečených sítí OpenSSH jsou citlivé na novou chybu zabezpečení, díky které je možné vzdálené spustit kód (RCE).

Chyba zabezpečení, sledovaná jako CVE-2024-6409 (skóre CVSS: 7,0), se liší od CVE-2024-6387 (aka RegreSSHion) a týká se případu spuštění kódu v podřízeném procesu privsep v důsledku sporu při zpracování signálu. . Týká se pouze verzí 8.7p1 a 8.8p1 dodávaných s Red Hat Enterprise Linux 9.

Bezpečnostní výzkumník Alexander Peslyak, vystupující pod pseudonymem Solar Designer, byl oceněn za objevení a nahlášení chyby, která byla nalezena během revize CVE-2024-6387 poté, co ji Qualys odhalil začátkem tohoto měsíce.

„Hlavní rozdíl oproti CVE-2024-6387 spočívá v tom, že podmínka sporu a potenciál RCE se spouštějí v podřízeném procesu privsep, který běží s omezenými oprávněními ve srovnání s procesem nadřazeného serveru,“ řekl Peslyak.

"Okamžitý dopad je tedy nižší. Mohou však existovat rozdíly ve zneužitelnosti těchto zranitelností v konkrétním scénáři, což by mohlo učinit jednu z těchto zranitelností atraktivnější volbou pro útočníka, a pokud bude opravena nebo zmírněna pouze jedna z nich, pak druhá se stává relevantnější."

Je však třeba poznamenat, že zranitelnost race condition obslužného programu signálu je stejná jako u CVE-2024-6387, kde pokud se klient neověří do LoginGraceTime sekund (ve výchozím nastavení 120), pak je manipulátor SIGALRM procesu démona OpenSSH volán asynchronně, který pak vyvolá různé funkce, které nejsou async-signal-safe.

„Tento problém jej ponechává zranitelný vůči konfliktu obslužného programu signálu ve funkci cleanup_exit(), která zavádí stejnou zranitelnost jako CVE-2024-6387 v neprivilegovaném potomku serveru SSHD,“ uvádí popis chyby zabezpečení.

"V důsledku úspěšného útoku v nejhorším případě může být útočník schopen provést vzdálené spuštění kódu (RCE) v rámci neprivilegovaného uživatele provozujícího sshd server."

Aktivní exploit pro CVE-2024-6387 byl od té doby detekován ve světě, přičemž neznámý útočník se zaměřuje na servery umístěné primárně v Číně.

"Počáteční vektor tohoto útoku pochází z IP adresy 108.174.58[.]28, o které bylo hlášeno, že je hostitelem adresáře obsahujícího exploit nástroje a skripty pro automatizaci zneužití zranitelných SSH serverů," uvedla izraelská společnost Veriti pro kybernetickou bezpečnost.

Původní článek: The Hacker News