Обнаружена критическая уязвимость в OpenSSH: regreSSHion CVE-2024-6387

Миллионы серверов OpenSSH потенциально уязвимы для удаленного выполнения кода без аутентификации из-за уязвимости regreSSHion. Уязвимость отслеживается как CVE-2024-6387 и была обнаружена исследованиями Qualys, которые ее уже приравняли по критичности к Log4Shell 2021 года. Исследователи выяснили, что процесс сервера OpenSSH «sshd» подвержен состоянию гонки обработчиков сигналов, что позволяет выполнять неаутентифицированный удаленный код с привилегиями root. Ошибка затрагивает системы Linux на базе glibc, по Windows и macOS - пока еще неясно. Конечным результатом использования regreSSHion является полная компрометация системы, открывающая злоумышленникам RCE с наивысшими привилегиями, обходить средства безопасности, выполнять кражу данных и даже поддерживать постоянный доступ. OpenSSH, разработанный для реализации защищенного канала по сети в архитектуре клиент-сервер, широко используется предприятиями для удаленного управления серверами и безопасной передачи данных. По данным Qualys, поиск Shodan и Censys выдает более 14 миллионов потенциально уязвимых экземпляров OpenSSH, которые доступны напрямую из Интернета. Собственные данные Qualys показывают, что около 700 000 систем, подключенных к Интернету, могут быть уязвимы. Ресерчеры полагают, что CVE-2024-6387 представляет собой регресс ранее исправленной уязвимости CVE-2006-5051 и вновь появилась в октябре 2020 года как часть выпуска OpenSSH 8.5p1. Уязвимость затрагивает версии 8.5p1-9.7p1, включая до 4.4p1 если они не имеют исправлений для CVE-2006-5051 и CVE-2008-4109 . При этом OpenBSD не подвержены уязвимости, поскольку они имеют механизм безопасности. Qualys поделилась техническими подробностями regreSSHion, но не публикует PoC для предотвращения вредоносной эксплуатации. Вместо этого, компания предоставила IoC для обнаружения потенциальных атак.

Уязвимость из прошлого: OpenSSH устраняет регрессию В серверном компоненте OpenSSH была обнаружена уязвимость CVE-2024-6387 типа Race Condition. Ошибка, названная «regreSSHion», является регрессией исправленной 18-летней уязвимости CVE-2006-5051. Успешная эксплуатация позволяет злоумышленникам выполнять код с root-привилегиями на уязвимых системах. В настоящее время выявлено не менее 14 миллионов потенциально уязвимых экземпляров серверов OpenSSH, доступных через Интернет. #безопасность #уязвимость #OpenSSH

Критическая уязвимость в OpenSSH позволяет удалённо выполнить код с правами root ⌨ В OpenSSH с версии >= 8.5 и < 4.4 обнаружена CVE-2024-6387, позволяющая удалённо выполнить код с правами root на серверах и пользовательских ПК со стандартной библиотекой Glibc. Эксперты показали атаку на 32-разрядной системе с Glibc с включённой защитой ASLR рандомизация адресного пространства . Для успешной атаки в лабораторных условиях потребовалось 6-8 часов, в течение которых с сервером непрерывно устанавливались соединения с максимально допустимой в конфигурации sshd интенсивностью. Совершение атаки упрощается и требует меньше времени на системах без ASLR или в дистрибутивах, использующих модифицированный OpenSSH, в котором отключена повторная рандомизация ASLR для каждого соединения. Не исключается возможность совершения атаки и на 64-разрядные системы, но рабочий эксплоит для таких систем пока не готов. Патч представлен в выпуске OpenSSH 9.8. Типичный Сисадмин

Осторожно: уязвимость в OpenSSH В понедельник эксперты по ИБ из компании Qualys опубликовали информацию о том, что в OpenSSH с версии >= 8.5 и < 4.4 обнаружена критическая уязвимость CVE-2024-6387 под названием regreSSHion. Она позволяет удалённо выполнить код с правами root на серверах и пользовательских ПК со стандартной библиотекой Glib. Проблема затрагивает серверы со следующими образами: • Ubuntu 22.04/24.04 +все образы на их основе • Debian 12 • AlmaLinux 9 • Rocky Linux 9 • CentOS Stream 9 Возможные варианты решения проблемы: 1 Обновить пакет OpenSSH в операционной системе: Debian/Ubuntu: apt update && apt install --only-upgrade openssh-client openssh-server openssh-sftp-server -y RHEL: sudo yum update && sudo yum install openssh-server openssh-clients openssh-sftp-server -y 2 Переустановить или заказать новый образ Мы обновили образы базовых операционных систем и завершаем обновление подверженных уязвимости образов с предустановленными приложениями. При заказе новых образов и переустановке образов в панели управления вы получите обновленное окружение, не подверженное этой уязвимости. 3 Использовать временное решение при невозможности обновления Изменить параметр LoginGraceTime в конфигурационном файле sshd_config на 0: LoginGraceTime=0. Это поможет устранить уязвимость, связанную с CVE-2024-6387, но будьте внимательны: это снижает вашу уязвимость перед DDoS-атаками.

Обнаружена «критическая» уязвимость в OpenSSH, затрагивающая почти все системы Linux Исследователи из подразделения Qualys Threat Research Unit обнаружили критическую уязвимость в сервере OpenSSH sshd , затрагивающую почти все системы на базе glibc Linux. Названная "regreSSHion", эта уязвимость является повторным возникновением ошибки, исправленной в 2006 году CVE-2006-5051 , и теперь идентифицирована как CVE-2024-6387. Эта уязвимость позволяет неавторизованному удаленному выполнению кода RCE с привилегиями root, что представляет серьезную угрозу, включая установку вредоносного ПО, создание бэкдоров и манипуляцию данными. Уязвимость представляет собой «состояние гонки обработчиков сигналов на сервере OpenSSH sshd — Это состояние гонки влияет на sshd в его конфигурации по умолчанию» К счастью, состояние гонки означает, что его нелегко использовать, и для успешной атаки требуется много попыток. Qualys советует организациям немедленно принять меры, включая установку патчей, перенастройку sshd и сегментацию сетей. Системы BSD не затронуты, а влияние на macOS и Windows пока неясно. Используя поисковые системы Censys и Shodan, исследователи выявили более 14 миллионов потенциально уязвимых экземпляров серверов OpenSSH.

Если у вас есть сервер с OpenSSH — срочно обновитесь. Исследователи нашли уязвимость, которая позволяет выполнить код на удаленной машине с root-привилегиями. Уязвимость присутствует практически во всех версиях OpenSSH, апдейты как раз вышли. Масштаб опасности — миллионы серверов по всему миру.

Сервера с OpenSSH под угрозой — исследователи нашли уязвимость, которая присутствует практически во всех версиях OpenSSH и позволяет выполнить код на удаленной машине с root-привилегиями. Уязвимости CVE-2024-6387 дали имя «regreSSHion». Исследователи заявляют, что по серьезности она сравнима с уязвимостью Log4Shell 2021 года. Благо, совсем недавно уязвимость была случайно устранена с выходом версии 9.8p1 и обновиться можно рекомендуется уже сейчас, дабы избежать возможных проблем.

В OpenSSH найдена критическая уязвимость, позволяющая удалённо выполнить код с правами root. Хостеры активно рассылают письма с просьбой обновлять версию SSH до последней актуальной, с уже выпущенным патчем. Под угрозой безопасность миллионов серверов. Если вы ничего не поняли, то просто проверьте свой хостинг и напишите в поддержку с просьбой помочь обновить.

Исследователи заметили первые попытки эксплуатации критической regreSSHion, однако массовая эксплуатация маловероятна. Приравненная к Log4Shell новая CVE-2024-6387, связанная с состоянием гонки в OpenSSH, была обнаружена исследователями Qualys, которые сразу же предупредили о возможности ее использования неавторизованным злоумышленником для RCE и может привести к полному захвату системы. Уязвимость получила такое название, поскольку она представляет собой регресс уязвимости OpenSSH, впервые исправленной еще в 2006 году. Проблема вновь возникла в 2020 году и была непреднамеренно исправлена с выпуском 9.8p1. К настоящему времени проблема активно обсуждается в сообществе и не зря, ведь по данным Shodan и Censys в Интернете более 14 миллионов потенциально уязвимых экземпляров OpenSSH. Qualys предоставила лишь технические подробности, однако позже последовали PoC-эксплойты. Демонстрация производилась только в 32-разрядных системах Linux на базе glibc. Эксплуатация на 64-битных при этом также считается возможной. В свою очередь, Palo Alto протестировала часть кода PoC и не смогла добиться RCE, отмечая отсутствие причин для паники. Несмотря на всю критичность, проблема вряд ли приведет к массовой эксплуатации. Эксплуатация CVE-2024-6387 - достаточно непростая задача. Qualys пояснила, что в результате экспериментов потребовалось около 10 000 попыток, чтобы реализовать условия гонки, необходимые для эксплуатации, а это от нескольких часов до недели. В свою очередь, Dazz также полагают, что эксплуатация в основном возможна в лабораторных условиях. Эксплойт статистический по своей природе, помимо этого существует довольно много препятствий, которые нужно преодолеть злоумышленникам. Самый известный эксплойт требует более 4 часов для запуска, в лучшем случае. Тем не менее, исследователь Рагхав Растоги все же обнаружил IP-адрес, с которого, по всей видимости, были попытки использования CVE-2024-6387. Помимо PoC в сеть запускают и инструменты с открытым исходным кодом, которые можно использовать для выявления уязвимых серверов OpenSSH. Будем следить.

1 июля 2024 года эксперты по информационной безопасности из Qualys обнаружили критическую уязвимость CVE-2024-6387 в OpenSSH в версиях >= 8.5 и < 4.4 под названием regreSSHion. Она позволяет удаленно выполнить код с правами root на серверах и пользовательских ПК со стандартной библиотекой Glib. В связи с этим откладываем любую деятельность по проектам и незамедлительно обновляем ПО на ваших серверах для устранения уязвимости.