Ağ Güvenlik Duvarları, Ağ Erişim Kontrolü, Güvenlik İşlemleri
Hızlı yama çağrısı: Kusurlar Ortadaki İnsan Saldırısı, Hizmet Risklerinin Reddetme
Mathew J. Schwartz (Euroinfosec) •
18 Şubat 2025
Milyonlarca sunucu, bir uzak sunucu yönetimi ve dosya aktarım aracındaki güvenlik açıklarından kaynaklanan risk açıktır ve ortada bir adam saldırısı başlatmak veya bir hizmet reddini etkilemek için kullanılabilecek.
Ayrıca bakınız: The Forrester Wave ™: Enterprise Güvenlik Duvarı Çözümleri, Q4 2024
Güvenlik açıkları, uzaktan erişim ve sunucu yönetimi ve dosya transferleri için kullanılan ve SFTP istemcisi ve sunucu desteği içeren güvenli kabuk tabanlı protokol 2.0’ın açık kaynaklı bir uygulaması olan OpenSsh’in birden fazla sürümünde bulunur. Araç bağımsız olarak mevcuttur ve ayrıca Microsoft Windows 10 ve 11, macOS ve çoğu Linux dağıtım dahil olmak üzere çok sayıda işletim sistemine yerleştirilir.
OpenSsh projesi, Openssh 9.9p2’nin Salı sürümü ile iki kusuru yamaladı.
Openssh, “Her iki güvenlik açığı da keşfedildi ve Qualys Güvenlik Danışma Ekibi tarafından kullanılabilir olduğu gösterildi.” Dedi. “Onlara Openssh hakkında ayrıntılı incelemeleri için teşekkür ediyoruz.”
Nesnelerin İnterneti Arama Motoru Shodan Salı günü OpenSsh çalıştıran yaklaşık 33 milyon internete maruz kalan sunucu gördüğünü bildirdi. Hepsi her iki kusura karşı savunmasız olmaz.
CVE-2025-26465 olarak izlenen ortadaki adam güvenlik açığı, Mart 2018’de piyasaya sürülen 6.8p1 sürümlerinde var-9.9p1-9.9p1 ile “herhangi bir sunucuyu taklit etmek için yoldaki bir saldırgan” tarafından kullanılabilir. Dedi Openssh.
Qualys bir güvenlik danışmanında, “Savunmasız bir istemci bir sunucuya bağlandığında, ortadaki etkin bir makine, istemcinin sunucunun kimliği kontrollerini tamamen atlayarak sunucuyu taklit edebilir.” Dedi.
Eğer kullanılırsa, “Bu, SSH bağlantısının bütünlüğünü bozar, kullanıcı farkına varmadan önce potansiyel müdahale veya oturumla kurcalanma sağlar.” Dedi. “SSH oturumları, kimlik bilgilerini veya kaçırma oturumlarını engellemeyi amaçlayan saldırganlar için birincil hedef olabilir. Eğer tehlikeye atılırsa, bilgisayar korsanları hassas verileri görüntüleyebilir veya manipüle edebilir, birden fazla kritik sunucu boyunca yanal olarak hareket edebilir ve veritabanı kimlik bilgileri gibi değerli bilgileri yayabilir.”
Azaltıcı bir faktör, bir OpenSsh istemcisinin yalnızca CVE-2025-26465’e karşı savunmasız olmasıdır. VerifyHostKeyDNS Seçenek etkinleştirildi; Genellikle varsayılan olarak devre dışı bırakılır. Dikkate değer bir istisna VerifyHostKeyDNS Qualys, “Eylül 2013’ten Mart 2023’e kadar FreeBSD’de varsayılan olarak etkinleştirildi.” Dedi.
Seçenek devre dışı değilse, “OpenSsh müşterisine karşı bu saldırı VerifyHostKeyDNS kullanıcı etkileşimi olmadan ‘evet’ veya ‘sor’ (varsayılan olarak ‘hayır’) ve kimliğe bürünmüş sunucunun aslında bir SSHFP kaynak kaydı olup olmadığı (DNS’de depolanmış bir SSH parmak izi) olup olmadığı “dedi.
CVE -2025-26466 olarak izlenen Hizmet Güvenlik Açığı Reddetme, Ekim 2023’te piyasaya sürülen ve 9.9p1 sürümünde var olan ve hem istemcilerde hem de sunucularda var olan OpenSsh sürüm 9.5p1 ile tanıtıldı. Güvenlik açığı, saldırganlar tarafından kullanılabilir. SSH2_MSG_PING Qualys, “hem bellek hem de CPU’nun asimetrik kaynak tüketimi” yoluyla “ön kimlik doğrulama öncesi hizmet reddi saldırısı” oluşturmak için paketler, dedi Qualys.
“Sunucu tarafında, bu saldırı openssh’te zaten inşa edilmiş mekanizmalarla kolayca hafifletilebilir: LoginGraceTime– MaxStartupsve daha yakın zamanda (openssh 9.8p1 ve daha yeni) PerSourcePenalties“dedi.
Bu kusurun ortaya koyduğu risk sadece istemci ve sunucu kullanılabilirliğinden biridir. Qualys, “Saldırganlar kusur CVE-2025-26466’dan tekrar tekrar yararlanabilirse, uzun süreli kesintilere neden olabilir veya yöneticilerin sunucuları yönetmesini önleyebilir ve meşru kullanıcıları etkili bir şekilde kilitleyebilirler.” Dedi. “Bu güvenlik açığıyla karşılaşan bir işletme, kritik sunucuların ulaşılamaz hale geldiğini, rutin işlemleri kesintiye uğrattığını ve temel bakım görevlerini durdurduğunu görebilir.”
Qualys, araştırmacılarının kusurları keşfettiğini ve 31 Ocak’ta doğrudan OpenSsh’e bildirdiğini, daha sonra güvenlik danışma ve yamalarının 10 Şubat’ta işletim sistemi dağıtım güvenlik posta listesine dağıtıldığını söyledi.
Salı günü, Qualys, her iki kusur için tüm ayrıntıları ve kavram kanıtı istismar kodu yayınladı, OpenSsh’in yama sürümüyle çakışacak şekilde zamanlanmış ve OpenSsh 9.9p2’nin güvenlik açıklarını yamaladığını vurguladı. “Sürekli güvenliği sağlamak için, etkilenen sistemleri en kısa sürede 9.9p2’ye yükseltmeyi şiddetle tavsiye ediyoruz” dedi.