OpenSSH Keyfi Kod Yürütme Güvenlik Açığı İçin PoC İstismarı Yayınlandı

“RegreSSHion” olarak da bilinen kritik OpenSSH güvenlik açığı CVE-2024-6387’ye yönelik bir kavram kanıtlama (PoC) istismarı yayımlandı ve siber güvenlik camiasında alarmlara yol açtı.

Dünya çapında milyonlarca OpenSSH sunucusunu etkileyen kusur, kimliği doğrulanmamış uzak saldırganların belirli koşullar altında kök ayrıcalıklarıyla rastgele kod yürütmesine olanak tanıyor.

Güvenlik Açığı: 2006’daki Bir Sorunun Gerilemesi

CVE-2024-6387, OpenSSH sunucusundaki (sshd) sinyal işleyici yarış durumundan kaynaklanmaktadır. Bu sorun, kimliği doğrulanmamış bir istemcinin “LoginGraceTime” sınırı (varsayılan olarak 120 saniye) içinde oturum açmaması durumunda ortaya çıkar.

Bu senaryoda tetiklenen sunucunun SIGALRM işleyicisi, “syslog()” gibi eşzamansız sinyal açısından güvenli olmayan işlevleri çağırarak, uzaktan kod yürütmeyi (RCE) gerçekleştirmek için yararlanılabilecek bir yarış koşulu oluşturur.

Investigate Real-World Malicious Links, Malware & Phishing Attacks With ANY.RUN – Try for Free

Bu güvenlik açığı özellikle kritiktir çünkü ilk kez 2006’da yamalanan bir kusuru (CVE-2006-5051) yeniden ortaya çıkarır ve bu da onu bir gerileme sorunu haline getirir. Güvenlik açığı Qualys Tehdit Araştırma Birimi tarafından ortaya çıkarıldı.

Glibc tabanlı Linux sistemlerinde OpenSSH’nin 8.5p1’den 9.8p1’e kadar olan sürümlerini etkiler. OpenBSD sistemleri, farklı sinyal işleme mekanizmaları nedeniyle etkilenmeden kalır.

Sömürü Zorlukları ve Riskleri

Güvenlik açığı ciddi olsa da, bundan yararlanmak kolay değildir. Güvenlik araştırmacıları bunu, yarış koşulunu kazanmak için çok sayıda girişim gerektiren “istatistiksel bir istismar” olarak tanımladı.

Kontrollü ortamlarda, sistem yapılandırmalarına ve Adres Alanı Düzeni Rastgeleleştirme (ASLR) gibi azaltımlara bağlı olarak, başarılı bir şekilde yararlanma birkaç saat ile bir hafta arasında sürer. Bu zorluklara rağmen PoC kodunun yayınlanması saldırganların önündeki engeli önemli ölçüde azaltıyor.

Raporlar, CVE-2024-6387’yi hedef alan istismar araçlarının hâlihazırda yer altı forumlarında dolaştığını ve en az bir IP adresinin doğada istismar girişiminde bulunduğunun gözlemlendiğini gösteriyor.

Shodan ve Censys gibi araçlar kullanılarak yapılan taramalara göre, güvenlik açığı dünya çapında 14 milyondan fazla internete açık OpenSSH sunucusunu etkiliyor.

Qualys’in verilerine göre bunlardan yaklaşık 700.000’inin savunmasız olduğu doğrulandı. Bu istismar, saldırganların kötü amaçlı yazılım yüklemesine, arka kapılar oluşturmasına, verileri manipüle etmesine ve ağ içinde yayılmasına olanak tanıyarak tüm sistemin ele geçirilmesine yol açabilir.

Özellikle, istismar yalnızca glibc’li 32 bit Linux sistemlerinde gösterilmiştir. 64 bit sistemlerde veya glibc olmayan ortamlarda kullanılması teorik olarak mümkün olsa da henüz doğrulanmadı.

Azaltıcı Önlemler

Bu kritik güvenlik açığını gidermek için:

• OpenSSH 9.8 veya Üstüne Yükseltme: En son sürüm, yarış durumunu çözen yamalar içerir.
• Geçici Çözüm: sshd yapılandırma dosyasında `LoginGraceTime`ı `0` olarak ayarlayın. Bu, güvenlik açığından yararlanılmasını engellese de sistemleri hizmet reddi risklerine maruz bırakabilir.
• Erişimi Kısıtla: SSH erişimini sınırlamak için ağ tabanlı kontrolleri kullanın.
• Uzlaşma Göstergelerini İzleme (IoC’ler): Kuruluşlar izinsiz giriş tespit sistemleri kurmalı ve olağandışı etkinliklere karşı günlükleri izlemelidir.

PoC kodunun yayınlanması siber güvenlik uzmanları arasında yaygın endişelere yol açtı. Bazı araştırmacılar laboratuvar ortamları dışında başarılı bir şekilde yararlanmaya çalışırken, diğerleri saldırganların bu yöntemleri zaman içinde geliştirebileceği konusunda uyarıyor.

Kuruluşların, etkilenen sistemlere yama uygulamak için hızlı hareket etmeleri ve anında yükseltmenin mümkün olmadığı durumlarda ek güvenlik önlemleri uygulamaları isteniyor.

CVE-2024-6387’ye yönelik bir PoC istismarının yayımlanması, OpenSSH sunucularındaki bu kritik güvenlik açığını gidermenin aciliyetinin altını çiziyor.

Teknik engellerden dolayı kitlesel istismar pek olası olmasa da başarılı saldırıların potansiyel etkisi ciddidir. Kuruluşların bu kusurla ilişkili riskleri azaltmak için yama uygulamasına öncelik vermesi ve katmanlı güvenlik önlemleri alması gerekiyor.

Find this News Interesting! Follow us on Google News, LinkedIn, and X to Get Instant Updates!