OpenSSH güvenli ağ paketinin seçili sürümlerinde, sistemleri uzaktan kod yürütme (RCE) risklerine maruz bırakabilecek yeni bir güvenlik açığı keşfedildi.
CVE-2024-6409 altında 7.0 CVSS puanı ile takip edilen bu OpenSSH güvenlik açığı, özellikle Red Hat Enterprise Linux 9 ile birlikte gelen 8.7p1 ve 8.8p1 OpenSSH sürümlerini etkiliyor. Solar Designer olarak bilinen güvenlik araştırmacısı Alexander Peslyak, RegreSSHion olarak da bilinen CVE-2024-6387’nin ifşa edilmesinin ardından yaptığı kapsamlı inceleme sırasında bu açığı keşfetti.
Bu yeni OpenSSH güvenlik açığı, OpenSSH’nin privsep alt sürecinde sinyal işlemedeki bir yarış koşulu etrafında dönüyor. Solar Designer, bu bulguyu güvenlik topluluğuna gönderdiği iletişimde ayrıntılı olarak açıkladı: “OpenSSH 8.7 ve 8.8 sürümleri, privsep alt sürecinde çalışırken grace_alarm_handler()’dan cleanup_exit()’i çağırır. cleanup_exit() başlangıçta bir sinyal işleyicisinden çağrılmak üzere tasarlanmamıştı ve diğer async-signal-unsafe işlevlerini tetikleyebilir.”
OpenSSH Güvenlik Açığı Red Hat Enterprise Linux 9’u Hedefliyor
Solar Designer, OpenSSH 8.7p1’in yukarı akış sürümlerinin başlangıçta async-signal-unsafe işlevlerini tetiklemediğini, ancak Red Hat’in openssh-7.6p1-audit.patch gibi dağıtımlardaki aşağı akış yamalarının bu davranışı değiştirdiğini vurguladı. Özellikle, Red Hat Enterprise Linux 9’da bulunan bu yama, cleanup_exit()’e güvenlik açığını daha da kötüleştiren değişiklikler getiriyor.
Pratik açıdan, bu güvenlik açığı sinyal işleyicisinin yarış durumu nedeniyle ortaya çıkar ve potansiyel olarak uzaktan kod yürütme senaryolarına yol açar. Özellikle, risk, CVE-2024-6387’den farklıdır çünkü istismar, öncülüne kıyasla daha düşük ayrıcalıklı privsep alt işleminde gerçekleşir ve daha düşük bir anlık etki sunar.
Azaltılmış anlık etkiye rağmen, CVE-2024-6409’un istismar edilebilirliği ve etkileri, özellikle katı güvenlik önlemlerinin tekdüze bir şekilde uygulanmadığı ortamlarda önemli olmaya devam ediyor. Solar Designer, Qualys ve güvenlik topluluğuyla yaptığı görüşmelerde, CVE-2024-6409 ile CVE-2024-6387 arasındaki azaltma stratejilerindeki nüanslı farklılıklara dikkat çekti:
Her iki güvenlik açığı da ‘LoginGraceTime 0’ ayarıyla azaltılabilse de, ‘-e’ azaltması CVE-2024-6387’ye karşı etkilidir ancak CVE-2024-6409’a karşı tamamen etkili değildir. Bu ayrım, her bir güvenlik açığını yeterli şekilde ele almak için belirli ve hedefli güvenlik önlemlerine olan ihtiyacı vurgular.”
Qualys, Solar Designer’ın OpenSSH Güvenlik Açığını Doğruladı
Önde gelen bir güvenlik danışmanlık firması olan Qualys, Solar Designer’ın bulgularını doğruladı ve güvenlik açığının teknik yönlerine ilişkin içgörüler ekledi. Şunları belirttiler: “OpenSSH’nin sinyal işleme mekanizmasındaki, özellikle privsep alt sürecindeki güvenlik açığı, kritik bir ifşayı temsil ediyor. Yarış durumu, daha düşük ayrıcalıklı alt sürecin kısıtlamaları dahilinde olsa da, uzaktan kod yürütme için potansiyel yollar sunuyor.”
Qualys ayrıca, Red Hat dağıtımlarında görülenler gibi, güvenlik açığının ciddiyetini istemeden daha da artıran alt akış yamalarının oluşturduğu ek zorlukları vurguladı. Özellikle, openssh-7.6p1-audit.patch’deki cleanup_exit()’e yapılan değişiklikler denetim günlüğünü geliştirmeyi amaçlıyordu ancak istemeden güvenlik açığının kapsamını artırdı.
Solar Designer, CVE-2024-6387’ye kıyasla CVE-2024-6409’un gecikmiş ifşası için üzüntüsünü dile getirerek, Red Hat’in dahili yayın programlarıyla ilgili koordinasyon zorluklarına atıfta bulundu: “Güvenlik topluluğu içindeki çabaları kolaylaştırabilecek olan CVE-2024-6409’un ayrı olarak ifşa edilmesinden dolayı özür dilerim. Red Hat, CVE-2024-6387 için düzeltmeleri kendi boru hattına zaten entegre etmişti ve bu da CVE-2024-6409 için eş zamanlı hafifletme çabalarını geciktiriyordu.”
CVE-2024-6409’un etkisi, çeşitli Linux dağıtımlarındaki alt akış yamalarının kapsamlı bir analizini gerektirdiğinden, anında güvenlik yamalarının ötesine uzanır. Solar Designer, tekdüze azaltma stratejilerini sağlamak için dağıtımlar genelinde kapsamlı güvenlik denetimlerinin önemini vurguladı:
“Etkili azaltma stratejileri, Red Hat’in openssh-7.6p1-audit.patch’indekiler gibi alt akış değişikliklerini hesaba katmalıdır. Bu değişiklikler, güvenlik önlemlerini güçlendirmeyi amaçlasa da, yanlışlıkla güvenlik açığının saldırı yüzeyini genişletti.”
Bu bulgulara yanıt olarak Qualys, denetim yamasının uygulanmasından kaynaklanan olası yan sorunlara, özellikle SSH ana bilgisayar anahtar parmak izlerinin hatalı bir şekilde kaydedilmesine ilişkin sorunlara dikkat çekti: “Red Hat’in OpenSSH paketindeki denetim yaması, yanlışlıkla SSH ana bilgisayar anahtar parmak izlerinin birden fazla kez kaydedilmesine yol açtı ve etkilenen sistemlerdeki denetim günlüklerinin bütünlüğü konusunda endişelere yol açtı.”
Bu zorluklara rağmen, Solar Designer gibi araştırmacılar ile Qualys gibi firmalar arasındaki iş birliği çabaları, OpenSSH’nin güvenlik altyapısını güçlendirmeye yönelik devam eden çabaları vurgulamaktadır. Solar Designer ve Qualys, bundan sonra kullanıcıları ve yöneticileri uyanık kalmaya ve CVE-2024-6409’un oluşturduğu riskleri azaltmak için yamaları derhal uygulamaya teşvik etmektedir.