- label Novinky z IT a kyberbezpečnosti
- remove_red_eye 154 zobrazení
Různé verze sady zabezpečených sítí OpenSSH jsou citlivé na novou chybu zabezpečení, díky které je možné vzdálené spustit kód (RCE).
Chyba zabezpečení, sledovaná jako CVE-2024-6409 (skóre CVSS: 7,0), se liší od CVE-2024-6387 (aka RegreSSHion) a týká se případu spuštění kódu v podřízeném procesu privsep v důsledku sporu při zpracování signálu. . Týká se pouze verzí 8.7p1 a 8.8p1 dodávaných s Red Hat Enterprise Linux 9.
Bezpečnostní výzkumník Alexander Peslyak, vystupující pod pseudonymem Solar Designer, byl oceněn za objevení a nahlášení chyby, která byla nalezena během revize CVE-2024-6387 poté, co ji Qualys odhalil začátkem tohoto měsíce.
„Hlavní rozdíl oproti CVE-2024-6387 spočívá v tom, že podmínka sporu a potenciál RCE se spouštějí v podřízeném procesu privsep, který běží s omezenými oprávněními ve srovnání s procesem nadřazeného serveru,“ řekl Peslyak.
"Okamžitý dopad je tedy nižší. Mohou však existovat rozdíly ve zneužitelnosti těchto zranitelností v konkrétním scénáři, což by mohlo učinit jednu z těchto zranitelností atraktivnější volbou pro útočníka, a pokud bude opravena nebo zmírněna pouze jedna z nich, pak druhá se stává relevantnější."
Je však třeba poznamenat, že zranitelnost race condition obslužného programu signálu je stejná jako u CVE-2024-6387, kde pokud se klient neověří do LoginGraceTime sekund (ve výchozím nastavení 120), pak je manipulátor SIGALRM procesu démona OpenSSH volán asynchronně, který pak vyvolá různé funkce, které nejsou async-signal-safe.
„Tento problém jej ponechává zranitelný vůči konfliktu obslužného programu signálu ve funkci cleanup_exit(), která zavádí stejnou zranitelnost jako CVE-2024-6387 v neprivilegovaném potomku serveru SSHD,“ uvádí popis chyby zabezpečení.
"V důsledku úspěšného útoku v nejhorším případě může být útočník schopen provést vzdálené spuštění kódu (RCE) v rámci neprivilegovaného uživatele provozujícího sshd server."
Aktivní exploit pro CVE-2024-6387 byl od té doby detekován ve světě, přičemž neznámý útočník se zaměřuje na servery umístěné primárně v Číně.
"Počáteční vektor tohoto útoku pochází z IP adresy 108.174.58[.]28, o které bylo hlášeno, že je hostitelem adresáře obsahujícího exploit nástroje a skripty pro automatizaci zneužití zranitelných SSH serverů," uvedla izraelská společnost Veriti pro kybernetickou bezpečnost.
Původní článek: The Hacker News