OpenSSH güvenli ağ paketinin belirli sürümleri, uzaktan kod yürütmeyi (RCE) tetikleyebilen yeni bir güvenlik açığına karşı hassastır.
CVE-2024-6409 (CVSS puanı: 7.0) olarak izlenen güvenlik açığı, CVE-2024-6387’den (diğer adıyla RegreSSHion) farklıdır ve sinyal işlemedeki bir yarış durumu nedeniyle privsep alt sürecinde kod yürütülmesiyle ilgilidir. Yalnızca Red Hat Enterprise Linux 9 ile birlikte gelen 8.7p1 ve 8.8p1 sürümlerini etkiler.
Solar Designer takma adını kullanan güvenlik araştırmacısı Alexander Peslyak, bu ayın başlarında Qualys tarafından açıklanan CVE-2024-6387 numaralı güvenlik açığının incelenmesi sırasında bulunan hatayı keşfedip bildiren kişi olarak kabul ediliyor.
Peslyak, “CVE-2024-6387’den temel fark, yarış koşulunun ve RCE potansiyelinin, ana sunucu sürecine kıyasla daha düşük ayrıcalıklarla çalışan privsep alt sürecinde tetiklenmesidir” dedi.
“Bu nedenle, anında etki daha düşüktür. Ancak, belirli bir senaryoda bu güvenlik açıklarının istismar edilebilirliğinde farklılıklar olabilir ve bu da bunlardan birini bir saldırgan için daha çekici bir seçenek haline getirebilir ve bunlardan yalnızca biri düzeltilirse veya azaltılırsa, diğeri daha önemli hale gelir.”
Ancak, sinyal işleyicisi yarış durumu güvenlik açığının, bir istemcinin LoginGraceTime saniyeleri (varsayılan olarak 120) içinde kimlik doğrulaması yapmaması durumunda, OpenSSH daemon işleminin SIGALRM işleyicisinin eşzamansız olarak çağrıldığı ve bu da eşzamansız sinyal açısından güvenli olmayan çeşitli işlevleri çağırdığı CVE-2024-6387 ile aynı olduğunu belirtmekte fayda var.
Güvenlik açığı açıklamasına göre, “Bu sorun, cleanup_exit() fonksiyonunda bir sinyal işleyici yarış durumuna karşı savunmasız bırakıyor ve bu da SSHD sunucusunun ayrıcalıksız alt bileşenindeki CVE-2024-6387 ile aynı güvenlik açığını ortaya çıkarıyor.”
“Başarılı bir saldırı sonucunda, en kötü senaryoda saldırgan, sshd sunucusunu çalıştıran ayrıcalıksız kullanıcı içerisinde uzaktan kod yürütme (RCE) gerçekleştirebilir.”
CVE-2024-6387 için aktif bir istismar tespit edildi ve bilinmeyen bir tehdit grubu öncelikli olarak Çin’de bulunan sunucuları hedef alıyor.
“Bu saldırının ilk vektörü 108.174.58 IP adresinden kaynaklanmaktadır[.]İsrailli siber güvenlik şirketi Veriti, “28 numaralı saldırının, savunmasız SSH sunucularının istismarını otomatikleştirmek için istismar araçları ve komut dosyalarını listeleyen bir dizine ev sahipliği yaptığı bildirildi” dedi.