OpenSSH güvenli iletişim paketindeki kimliği doğrulanmamış uzaktan kod yürütme (RCE) güvenlik açığı, milyonlarca Linux tabanlı sistemin kök olarak ele geçirilmesine olanak sağlıyor.
Qualys Threat Research Unit’te (TRU) keşfeden araştırmacılar tarafından “RegreSSHion” olarak adlandırılan hata (8.1 CVSS puanı), daha spesifik olarak OpenSSH’nin sunucusunda (sshd) bir sinyal işleyici yarış durumudur. Varsayılan yapılandırmasında sshd çalıştıran glibc tabanlı Linux sistemlerini etkiler; Mac ve Windows ortamlarında da bulunabilir (ancak bunlar için istismar edilebilirlik henüz kanıtlanmamıştır).
“Bu güvenlik açığının istismar edilmesi halinde, saldırganın en yüksek ayrıcalıklara sahip keyfi kod çalıştırmasına, sistemin tamamının ele geçirilmesine, kötü amaçlı yazılım yüklenmesine, veri manipülasyonuna ve kalıcı erişim için arka kapılar oluşturulmasına yol açabilecek tam bir sistem ihlali meydana gelebilir.” TRU gönderisini oku 1 Temmuz’da.
Ayrıca, “ağ yayılımını kolaylaştırabilir ve saldırganların, kuruluş içindeki diğer savunmasız sistemleri aşmak ve istismar etmek için tehlikeye atılmış bir sistemi bir dayanak noktası olarak kullanmalarına olanak tanıyabilir” [and] “Kök erişimi elde etmek, saldırganların güvenlik duvarları, saldırı tespit sistemleri ve kayıt mekanizmaları gibi kritik güvenlik mekanizmalarını aşmalarına olanak tanıyarak, faaliyetlerini daha da belirsiz hale getirir.”
Keşfin arkasındaki Qualys araştırmacılarına göre, İnternet’e açık 14 milyondan fazla potansiyel olarak savunmasız OpenSSH sunucu örneği bulunuyor.
CVE-2024-6387, Regresyon Testinin Gerekliliğini Ortaya Koymaktadır
Hata, “RegreSSHion” adını, 2006’da düzeltilen bir kusurun (CVE-2006-5051) yeniden ortaya çıkması gerçeğinden alır, muhtemelen test edilmemiş güncellemeler veya eski kod kullanımı yoluyla yeniden tanıtılmıştır. Bu, farklı sürümler için farklı yama şemalarının mevcut olduğu anlamına gelir.
Contrast Security’nin kurucu ortağı ve CTO’su Jeff Williams, “Bu durumda, OpenSSH ekibi daha önce düzelttikleri bir hatayı yanlışlıkla tekrar ortaya çıkardı ve bu da her ekibin her derlemede çalışan ve gerilemeleri önlemeye yardımcı olan tam otomatik test paketlerine ihtiyaç duyduğunu gösterdi… özellikle güvenlik düzeltmeleri için” diyor.
Araştırmacılar, bu açığın istismar edilmesinin zor olduğunu, ancak tamamen giderilmesinin de kolay olmadığını, odaklı ve katmanlı bir güvenlik yaklaşımı gerektirdiğini söylüyor.
“Log4Shell saldırılarının aksineWilliams, “Tamamen tek bir kimliği doğrulanmamış HTTP isteğinde tutulabilen bu saldırı biraz gürültülü ve başarılı olması için ortalama 10.000 deneme gerekiyor” diye açıklıyor. “Sağlayıcıların bu saldırıları başarılı olmadan önce tespit edip engellemesini sağlayacağı konusunda iyimserim.”
Ancak aynı zamanda, TRU araştırmacılarına göre “bu düzeltme büyük bir güncellemenin parçası ve geriye dönük taşınmasını zorlaştırıyor.” “Sonuç olarak, kullanıcılar iki güncelleme seçeneğine sahip olacak: 1 Temmuz Pazartesi günü (9.8p1) yayınlanan en son sürüme yükseltme veya uyarıda belirtildiği gibi eski sürümlere bir düzeltme uygulama.”
Çeşitli konularda Linux dağıtımları ve satıcı uygulamalarıTRU’ya göre, yamaların “yakında” yayınlanması bekleniyor. Bu arada, yöneticiler saldırı riskini en aza indirmek için ağ tabanlı kontroller aracılığıyla SSH erişimini sınırlayabilir; bir ihlal durumunda hasarı önlemek için ağ segmentasyonunu kullanabilir; TRU’nun ihlal göstergeleri (IoC’ler) için günlükleri kontrol edebilir; ve kapsamlı saldırı tespit yeteneklerini devreye sokabilir.