Naukowcy ostrzegają przed poważną luką w zabezpieczeniach narzędzia sieciowego OpenSSH, która może zostać wykorzystana w celu uzyskania przez atakujących pełnej kontroli nad serwerami Linux i Unix bez konieczności uwierzytelniania.
Luka w zabezpieczeniach oznaczona numerem CVE-2024-6387 umożliwia zdalne wykonywanie kodu bez uwierzytelniania z uprawnieniami roota w systemach Linux opartych na biblioteka glibcimplementacja biblioteki standardowej C w formacie open source. Luka jest wynikiem regresji kodu wprowadzonej w 2020 r., która ponownie wprowadziła lukę CVE-2006-5051, która została naprawiona w 2006 r. Biorąc pod uwagę tysiące, jeśli nie miliony, podatnych serwerów zamieszkujących Internet, ta najnowsza luka może stanowić poważne ryzyko.
Całkowite przejęcie systemu
„Wykorzystanie tej luki może doprowadzić do całkowitego naruszenia bezpieczeństwa systemu, w wyniku czego atakujący może wykonać dowolny kod z najwyższymi uprawnieniami, co doprowadzi do całkowitego przejęcia systemu, zainstalowania złośliwego oprogramowania, manipulacji danymi i utworzenia tylnych drzwi umożliwiających trwały dostęp” napisał Bharat Jogi, starszy dyrektor ds. badań zagrożeń w Qualys, firmie ochroniarskiej, która to odkryła. „Może to ułatwić rozprzestrzenianie się sieci, umożliwiając atakującym wykorzystanie skompromitowanego systemu jako przyczółka do przechodzenia i wykorzystywania innych podatnych systemów w organizacji”.
Ryzyko jest częściowo spowodowane centralną rolą, jaką OpenSSH odgrywa w praktycznie każdej wewnętrznej sieci podłączonej do Internetu. Zapewnia on kanał, za pomocą którego administratorzy mogą łączyć się z chronionymi urządzeniami zdalnie lub z jednego urządzenia do drugiego w sieci. Możliwość obsługi przez OpenSSH wielu silnych protokołów szyfrowania, jego integracja z praktycznie wszystkimi nowoczesnymi systemami operacyjnymi i jego lokalizacja na samym obwodzie sieci dodatkowo zwiększają jego popularność.
Oprócz wszechobecności podatnych serwerów zaludniających Internet, CVE-2024-6387 zapewnia również skuteczny sposób wykonywania złośliwego kodu z najwyższymi uprawnieniami, bez konieczności uwierzytelniania. Wada wynika z wadliwego zarządzania obsługa sygnałukomponent w glibc do reagowania na potencjalnie poważne zdarzenia, takie jak próby dzielenia przez zero. Gdy urządzenie klienckie inicjuje połączenie, ale nie uwierzytelnia się pomyślnie w wyznaczonym czasie (domyślnie 120 sekund), podatne systemy OpenSSH asynchronicznie wywołują tzw. obsługę SIGALRM. Luka znajduje się w sshd, głównym silniku OpenSSH. Qualys nazwał lukę regreSSHion.
Powaga zagrożenia, jakie niesie ze sobą eksploatacja, jest znacząca, ale różne czynniki prawdopodobnie uniemożliwią jej masową eksploatację, twierdzą eksperci ds. bezpieczeństwa. Po pierwsze, atak może trwać nawet osiem godzin i wymagać nawet 10 000 kroków uwierzytelniania, Stan Kaminsky, badacz z firmy zajmującej się bezpieczeństwem Kaspersky, powiedziałOpóźnienie wynika z obrony znanej jako losowość układu przestrzeni adresowejktóra zmienia adresy pamięci, w których przechowywany jest kod wykonywalny, aby uniemożliwić próby uruchomienia złośliwych ładunków.
Obowiązują inne ograniczenia. Atakujący muszą również znać konkretny system operacyjny uruchomiony na każdym serwerze docelowym. Jak dotąd nikt nie znalazł sposobu na wykorzystanie systemów 64-bitowych, ponieważ liczba dostępnych adresów pamięci jest wykładniczo wyższa niż liczba dostępnych dla systemów 32-bitowych. Ataki typu „odmowa usługi”, które ograniczają liczbę żądań połączenia przychodzących do podatnego systemu, dodatkowo zmniejszają szanse powodzenia prób wykorzystania.
Wszystkie te ograniczenia prawdopodobnie uniemożliwią masowe wykorzystanie CVE-2024-6387, twierdzą badacze, ale nadal istnieje ryzyko ukierunkowanych ataków, które będą zasypywać konkretną interesującą sieć próbami uwierzytelnienia w ciągu kilku dni, aż do momentu, gdy zezwolą na wykonanie kodu. Aby zatrzeć ślady, atakujący mogliby rozprzestrzeniać żądania przez dużą liczbę adresów IP w sposób podobny do ataków polegających na rozpylaniu haseł. W ten sposób atakujący mogliby obrać za cel kilka podatnych sieci, aż jedna lub więcej prób zakończy się sukcesem.
Luka dotyczy następujących elementów:
- Wersje OpenSSH starsze niż 4.4p1 są podatne na ten wyścig warunków obsługi sygnału, chyba że zostaną załatane pod kątem luk CVE-2006-5051 i CVE-2008-4109.
- Wersje od 4.4p1 do 8.5p1 (z wyłączeniem tej wersji) nie są podatne na ataki dzięki transformacyjnej poprawce dla CVE-2006-5051, która zabezpieczyła wcześniej niebezpieczną funkcję.
- Luka w zabezpieczeniach pojawia się ponownie w wersjach od 8.5p1 do 9.8p1 (z wyłączeniem tej wersji) z powodu przypadkowego usunięcia krytycznego komponentu w funkcji.
Każdy, kto korzysta z podatnej na ataki wersji, powinien jak najszybciej dokonać aktualizacji.
