Cisco, birden fazla ürünü etkileyen “regreSSHion” adı verilen kritik bir uzaktan kod yürütme (RCE) güvenlik açığıyla ilgili bir güvenlik duyurusu yayınladı.
CVE-2024-6387 olarak izlenen güvenlik açığı, Qualys Tehdit Araştırma Birimi tarafından 1 Temmuz 2024’te açıklandı. Glibc tabanlı Linux sistemlerindeki OpenSSH sunucusunu (sshd) etkiliyor ve kimliği doğrulanmamış saldırganların etkilenen sistemlere kök erişimi elde etmesine olanak sağlama potansiyeline sahip.
Güvenlik Açığı Ayrıntıları
regreSSHion güvenlik açığı, Ekim 2020’de yayınlanan OpenSSH 8.5p1 sürümünde yeniden ortaya çıkan daha eski bir kusurun (CVE-2006-5051) geri döndürülmesidir.
Ücretsiz web seminerimize katılarak şunları öğrenin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Bu kusur, async-signal-safe olmayan işlevleri çağıran sshd’nin SIGALRM işleyicisindeki bir yarış koşulunu içeriyor, örneğin: syslog().
Bir saldırgan, birden fazla bağlantı açarak ve LoginGraceTime süresi içinde kimlik doğrulamayı başaramayarak, savunmasız sinyal işleyicisini eş zamanlı olarak tetikleyerek bu durumdan faydalanabilir.
Cisco, bu güvenlik açığından etkilenen çeşitli kategorilerdeki birçok ürünü tespit etti.
Şirket, etkilenen cihazların tam kapsamını belirlemek için ürün serisini aktif olarak araştırıyor. Aşağıdaki tabloda etkilenen ürünler ve ilgili Cisco Hata Kimlikleri listelenmektedir:
| Ürün Kategorisi | Ürün adı | Cisco Hata Kimliği | Sabit Sürüm Kullanılabilirliği |
|---|---|---|---|
| Ağ ve İçerik Güvenlik Aygıtları | Uyarlanabilir Güvenlik Cihazı (ASA) Yazılımı | CSChafta61618 | |
| Ateş Gücü Yönetim Merkezi (FMC) Yazılımı | CSChafta61618 | ||
| Ateş Gücü Tehdit Savunması (FTD) Yazılımı | CSChafta61618 | ||
| FXOS Ateş Gücü Şasi Yöneticisi | CSCwk62297 | ||
| Kimlik Hizmetleri Motoru (ISE) | CSChafta61938 | ||
| Güvenli Ağ Analitiği | CSChafta62315 | ||
| Ağ Yönetimi ve Sağlama | Crosswork Veri Ağ Geçidi | CSChafta62311 | 7.0.0 (Ağustos 2024) |
| Siber Vizyon | CSChafta62289 | ||
| DNA Uzay Bağlayıcısı | CSChafta62273 | ||
| Birincil Altyapı | CSChafta62276 | ||
| Akıllı Yazılım Yöneticisi Yerinde | CSChafta62288 | ||
| Sanallaştırılmış Altyapı Yöneticisi | CSChafta62277 | ||
| Yönlendirme ve Anahtarlama – İşletme ve Servis Sağlayıcı | ASR 5000 Serisi Yönlendiriciler | CSChafta62248 | |
| Nexus 3000 Serisi Anahtarlar | CSChafta61235 | ||
| Bağımsız NX-OS modunda Nexus 9000 Serisi Anahtarlar | CSChafta61235 | ||
| Birleşik Bilgi İşlem | Intersight Sanal Cihaz | CSChafta63145 | |
| Ses ve Birleşik İletişim Cihazları | Acil Müdahale Görevlisi | CSChafta63694 | |
| Birleşik İletişim Yöneticisi | CSChafta62318 | ||
| Birleşik İletişim Yöneticisi IM ve Varlık Hizmeti | CSChafta63634 | ||
| Birlik Bağlantısı | CSChafta63494 | ||
| Video, Akış, TelePresence ve Transkodlama Cihazları | Cisco Toplantı Sunucusu | CSChafta62286 | SMU – CMS 3.9.2 (Ağustos 2024) |
Azaltma ve Öneriler
Cisco, istismar riskini azaltmak için birkaç adım öneriyor:
- SSH Erişimini Kısıtla: SSH erişimini yalnızca güvenilir ana bilgisayarlarla sınırlayın. Bu, SSH hizmetlerine yetkisiz erişimi önlemek için altyapı erişim kontrol listeleri (ACL’ler) uygulanarak gerçekleştirilebilir.
- OpenSSH’yi yükseltin:Linux dağıtımlarının paket depolarında kullanılabilir hale gelir gelmez OpenSSH’nin en son yamalı sürümüne (9.8p1) yükseltin.
- LoginGraceTime’ı Ayarla: Yı kur
LoginGraceTimeYarış durumunu önlemek için sshd yapılandırma dosyasında parametreyi 0’a ayarlayın, ancak bu, tüm bağlantı yuvaları işgal edilirse hizmet reddi durumuna yol açabilir[1][6][7].
Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), bu güvenlik açığı için bir kavram kanıtı istismar kodunun mevcut olduğunu biliyor. Ancak, istismarın özelleştirilmesi gerekiyor ve kötü amaçlı kullanımla ilgili hiçbir rapor yok.
Cisco, tüm ürün ve hizmetlerin etkilerini değerlendirmeye devam ediyor ve yeni bilgiler mevcut oldukça duyuruyu güncelleyecek.
regreSSHion güvenlik açığı Cisco ürünlerinin büyük bir yelpazesi için önemli bir risk oluşturmaktadır.
Müşterilerimizin Cisco’nun önerilerini takip etmeleri ve sistemlerini olası istismarlardan korumak için gerekli yamaları ve önlemleri uygulamaları önemle rica olunur.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo