Yönetim ve Risk Yönetimi, Yama Yönetimi
14 Milyondan Fazla Sunucu, Onlarca Yıl Önce İlk Kez Düzeltilen Bir Hatadan Etkilenmiş Olabilir
Rashmi Ramesh (raşmiramesh_) •
1 Temmuz 2024
Uzaktan sunucu yönetimi ve dosya aktarım aracındaki bir güvenlik açığı, bilgisayar korsanlarının etkilenen sistemleri tamamen ele geçirmesine olanak tanıyabilir ve 14 milyondan fazla sunucuyu etkileyebilir.
Ayrıca bakınız: Proaktif Maruziyet Yönetimiyle Siber Güvenliği Dönüştürün
Qualys’in pazartesi günü yayınladığı bildirime göre, OpenSSH’deki “regreSSHion” adı verilen kimlik doğrulaması yapılmamış uzaktan kod yürütme açığı, glibc tabanlı Linux sistemlerinde kök ayrıcalıkları sağlıyor.
OpenSSH, uzaktan erişim, sunucu yönetimi ve dosya transferleri için kullanılan Güvenli Kabuk tabanlı bir protokoldür.
Shodan ve Censys taramaları 14 milyondan fazla internete açık OpenSSH sunucusunu gösterirken, Qualys’in anonimleştirilmiş verilerine göre güvenlik açığı olan örnek sayısı 700.000 olarak belirlendi ve bu sayı küresel ölçekte şirketin internete açık harici örneklerinin yaklaşık üçte birine denk geliyor.
CVE-2024-6387 olarak izlenen bu hatanın istismarı, saldırganın en yüksek ayrıcalıklara sahip keyfi kod yürütmesine ve potansiyel olarak kötü amaçlı yazılım yüklemesine, verileri manipüle etmesine ve sistemde kalıcı erişim için arka kapılar oluşturmasına olanak tanıyabilir. Ayrıca, saldırganların “tehlikeye atılmış bir sistemi, kuruluş içindeki diğer savunmasız sistemleri geçmek ve istismar etmek için bir dayanak noktası olarak kullanmasına” olanak tanıyarak ağ yayılımını kolaylaştırabilir, dedi Qualys.
Yazının yazıldığı sırada Ulusal Güvenlik Açığı Veritabanı henüz bir CVSS puanı belirlememişti.
Qualys, 2006 yılında bu hatayı düzeltmişti; ancak 14 yıl sonra bu sorun tekrar gündeme geldi.
Tehdit araştırma biriminin kıdemli direktörü Bharat Jogi, bunu bir “gerileme” vakası olarak nitelendirdi. Bu bağlamda, bir zamanlar düzeltilmiş bir hatanın, genellikle sorunu istemeden geri getiren değişiklikler veya güncellemeler nedeniyle sonraki bir yazılım sürümünde yeniden ortaya çıkması anlamına geliyor.
Bu durumda, yeni hata yaklaşık yirmi yıl önce CVE-2006-5051 olarak bildirilip düzeltildikten sonra Ekim 2020’de OpenSSH sürüm 8.5p1’de yeniden ortaya çıktı.
Kusurun istismar edilmesi zordur. Saldırganların başarılı olmak için birden fazla girişimde bulunmasını gerektirir. Ancak yapay zeka araçları saldırganların “sömürü oranını önemli ölçüde artırmasına yardımcı olabilir ve bu da saldırganlara bu tür güvenlik kusurlarından yararlanmada önemli bir avantaj sağlayabilir” dedi Qualys.
Araştırmacılar, güvenlik açığını gidermek için OpenSSH sunucusunun 9.8p1 sürümüne güncellenmesini öneriyor. Ağ tabanlı kontroller kullanılarak SSH erişiminin kısıtlanmasını ve saldırganların yanal hareketini önlemek için ağ segmentasyonunun uygulanmasını öneriyorlar. Teknik bir blog, diğer olası azaltma stratejilerini ayrıntılı olarak açıklıyor.
Geçici bir çözüm olarak araştırmacılar, LoginGraceTime’ı 0 olarak ayarlamayı öneriyor. sshd yapılandırma dosyasında yer alan bir hata, sunucunun hizmet reddi saldırılarına maruz kalabileceğini gösteriyor.
Söz konusu açığın macOS ve Windows sistemlerinde de mevcut olabileceği belirtiliyor ancak araştırmacılar henüz bunun istismar edilebilirliğini doğrulamadı.