Güvenlik araştırmacıları, OpenSSH’de CVE-2024-6409 olarak tanımlanan ve etkilenen sistemlerde uzaktan kod yürütme saldırılarına izin verebilecek yeni bir güvenlik açığı keşfettiler.
OpenSSH 8.7 ve 8.8 sürümlerini etkileyen bu güvenlik açığı, ayrıcalık ayırma (privsep) alt işlemi içindeki sinyal işlemedeki yarış durumu nedeniyle olası uzaktan kod yürütmeye (RCE) izin veriyor.
OpenSSH Güvenlik Açığı CVE-2024-6409
Güvenlik açığı, Qualys tarafından önceki CVE-2024-6387 güvenlik açığının ardından yapılan derinlemesine analiz ve güvenlik araştırmacıları tarafından yapılan daha detaylı incelemenin ardından 8 Temmuz 2024’te kamuoyuna duyuruldu.
CVE-2024-6409, bir yarış koşuludur grace_alarm_handler() uygunsuz bir şekilde çağıran fonksiyon cleanup_exit() bir sinyal işleyicisinin içinden. Bu işlevi, asenkron sinyal güvenli olmayan diğer işlevleri çağırabileceğinden ve potansiyel güvenlik risklerine yol açabileceğinden böyle bir bağlamda çağırmak güvenli değildir.
Ücretsiz web seminerimize katılarak şu konularda bilgi edinin: yavaş DDoS saldırılarıyla mücadelebugün büyük bir tehdit.
Sorun özellikle OpenSSH 8.7 ve 8.8 sürümlerini ve bunlara karşılık gelen taşınabilir sürümleri çalıştıran sistemler için endişe vericidir. Güvenlik açığı, aşağıdaki gibi belirli alt akış yamaları tarafından daha da kötüleştirilir: openssh-7.6p1-audit.patch Red Hat’in OpenSSH paketinde bulunan ve ek kod ekleyen cleanup_exit() Bu da güvenlik açığını tetikleyebilir.
CVE-2024-6387’den temel fark, yarış koşulunun ve uzaktan kod yürütme (RCE) potansiyelinin privsep alt sürecinde başlatılması gerçeğinde yatmaktadır. Bu süreç, ana sunucu sürecine kıyasla sınırlı ayrıcalıklarla çalışır. Sonuç olarak, anında etki azalır.
CVE-2024-6409’un doğrudan etkisi, yarış koşulunun ve RCE potansiyelinin, ana sunucu işlemine kıyasla daha düşük ayrıcalıklarla çalışan privsep alt işleminde tetiklenmesi gerçeğiyle bir nebze hafifletilse de, güvenlik açığı hâlâ önemli bir risk oluşturmaktadır.
privsep alt süreci, tehlikeye atılması durumunda meydana gelebilecek hasarı sınırlamak için tasarlanmıştır; ancak uzaktan kod yürütme potansiyeli hala ciddi bir tehdittir.
Azaltma ve Yama
Güvenlik uzmanları CVE-2024-6409 ile ilişkili riskleri azaltmak için derhal harekete geçilmesini öneriyor. Aşağıdaki adımlar önerilir:
- Yamaları Uygula: Etkilenen tüm sistemlerin en son yamalarla güncellendiğinden emin olun. Örneğin Rocky Linux, bu güvenlik açığı için bir yama yayınladı.
- Yapılandırma Ayarlamaları: Aşağıdaki gibi hafifletme önlemlerini uygulayın:
LoginGraceTimeBu ve benzeri güvenlik açıklarının istismar edilmesini önlemeye yardımcı olabilecek şekilde 0’a indirilmesi. - İzleme ve Uyarılar: Özellikle SSH daemon’ı içindeki kimlik doğrulama girişimleri ve sinyal işleme etrafındaki olağandışı etkinliklere yönelik izlemeyi artırın.
Bu açıklama, 1 Temmuz 2024’te “RegreSSHion” olarak da bilinen başka bir kritik OpenSSH açığı olan CVE-2024-6387’nin açıklanmasının ardından geldi. CVE-2024-6387, glibc tabanlı Linux sistemlerinde kök ayrıcalıklarıyla kimliği doğrulanmamış uzaktan kod yürütülmesine yol açabilen bir sinyal işleyici yarış koşuludur.
CVE-2024-6409’un keşfi, özellikle OpenSSH gibi yaygın olarak kullanılan araçlarda güvenli yazılım ortamlarının sürdürülmesindeki devam eden zorlukları vurgulamaktadır.
Kuruluşların yamaları derhal uygulamaları, güvenlik yapılandırmalarını gözden geçirmeleri ve en son güvenlik açıkları ve azaltma stratejileri hakkında bilgi sahibi olmaları önemle rica olunur.
Bu güvenlik açığı ve mevcut yamalar hakkında daha ayrıntılı bilgi için lütfen yazılım satıcılarınızın resmi güvenlik uyarılarına ve güncellemelerine bakın.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo