Qualys Tehdit Araştırma Birimi, OpenSSH’de “regreSSHion” (CVE-2024-6387) adı verilen yeni keşfedilen bir güvenlik açığı tespit etti.
İnternete bağlı 700.000’den fazla Linux sistemini etkileyen ve root olarak kimliği doğrulanmamış uzaktan kod yürütmeye (RCE) izin veren bu kritik açık.
regreSSHion güvenlik açığı, OpenSSH sunucusunda (sshd) bulunan ve en yüksek ayrıcalıklarla keyfi kod çalıştırmak için kullanılabilen bir sinyal işleyici yarış durumudur.
Bu kusur özellikle endişe verici çünkü kullanıcı etkileşimi gerektirmiyor ve OpenSSH’nin varsayılan yapılandırmasını etkiliyor.
Bu güvenlik açığı, Ekim 2020’de OpenSSH 8.5p1’in yayınlanmasıyla yeniden ortaya çıkan, daha önce düzeltilmiş bir sorunun (CVE-2006-5051) gerilemesidir.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
RegreSSHion istismar edilirse sistemin tamamının ele geçirilmesine yol açabilir, saldırganların kötü amaçlı yazılım yüklemesine, verileri değiştirmesine ve kalıcı erişim için arka kapılar oluşturmasına olanak tanıyabilir.
Bu durum, ağ yayılımını kolaylaştırarak saldırganların kuruluş içindeki diğer savunmasız sistemleri tehlikeye atmasına olanak tanıyabilir.
Güvenlik açığı, saldırganların güvenlik duvarları ve saldırı tespit sistemleri gibi kritik güvenlik mekanizmalarını aşmalarına olanak tanıdığı ve önemli veri ihlallerine ve sızıntılara yol açabileceği için önemli bir risk oluşturuyor.
Açık OpenSSH Örnekleri
Qualys araştırmacıları, internete açık 14 milyondan fazla potansiyel olarak savunmasız OpenSSH sunucu örneğini belirlemek için Censys ve Shodan gibi internet tarama hizmetlerini kullandılar.
Qualys müşteri verilerinden elde edilen anonimleştirilmiş veriler, yaklaşık 700.000 harici internete bakan örneğin savunmasız olduğunu ve bunun Qualys’in küresel müşteri tabanındaki OpenSSH’ye sahip tüm internete bakan örneklerin %31’ini oluşturduğunu ortaya koydu.
Bu güvenlik açığı, sshd’nin SIGALRM işleyicisinin çeşitli hassas işlevleri çağırmasından kaynaklanmaktadır: syslog() LoginGraceTime süresi içerisinde kimlik doğrulamasından geçemeyen bir bağlantı girişimi olduğunda eşzamansız bir şekilde.
Bu, kök ayrıcalıklarıyla keyfi kod yürütmek için istismar edilebilecek yığın bozulmasına yol açabilir. Kusur, başarılı bir saldırı için birden fazla girişim gerektiren uzaktan yarış koşulu doğası nedeniyle istismar edilmesi özellikle zordur.
Azaltma Adımları
RegreSSHion’ın oluşturduğu riski azaltmak için kuruluşlara şunlar önerilir:
- Yama Yönetimi: OpenSSH için yamaları hemen uygulayın ve güncelleme süreçlerinin sürekliliğini sağlayın.
- Gelişmiş Erişim Kontrolü: Ağ tabanlı kontroller aracılığıyla SSH erişimini kısıtlayın.
- Ağ Segmentasyonu ve Saldırı Tespiti: Ağları ayırın ve istismar girişimlerini tespit etmek için izleme sistemleri kurun.
- Geçici Azaltma: Yamalar hemen uygulanamıyorsa, sistemleri olası hizmet reddi riskine maruz bıraksa da, istismarı önlemek için LoginGraceTime değerini 0 olarak yapılandırın.
Henüz aktif bir istismara rastlanmamış olsa da bu kusurun potansiyel etkisi, sistem yöneticilerinin sistemlerini korumak için acilen harekete geçmelerini gerektiriyor.
regreSSHion Güvenlik Açığı Nasıl Taranır
Kuruluşlar sistemlerindeki regreSSHion güvenlik açığını (CVE-2024-6387) taramak için çeşitli araçlar kullanabilirler. İşte mevcut en etkili araçlardan bazıları:
1. CVE-2024-6387_Kontrol Komut Dosyası
Bu, OpenSSH’nin güvenlik açığı bulunan sürümlerini çalıştıran sunucuları tespit etmek için özel olarak tasarlanmış hafif ve etkili bir araçtır.
Birden fazla IP adresinin, alan adının ve CIDR ağ aralığının hızlı taranmasını destekler.
Betik, kimlik doğrulaması olmadan SSH başlıklarını alır ve eş zamanlı kontroller için çoklu iş parçacığı kullanır, bu da tarama sürelerini önemli ölçüde azaltır. Çıktı, taranan hedeflerin açık bir özetini sağlar ve hangi sunucuların savunmasız olduğunu, savunmasız olmadığını veya kapalı bağlantı noktalarına sahip olduğunu belirtir.
2. Qualys Güvenlik Açığı Yönetimi
Qualys, CVE-2024-6387 dahil olmak üzere çok çeşitli güvenlik açıklarını tarayabilen kapsamlı bir güvenlik açığı yönetim aracı sunar. Kapsamlı koruma sağlar ve tüm varlıklar ve saldırı vektörleri genelinde siber riskleri toplayıp öncelik sırasına koyabilir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files