Beveiliging

Inzicht in CVE-2024-6387: een kritieke OpenSSH-kwetsbaarheid met betrekking tot de toestand van de Signal Handler Race

SecurityHive
July 2, 2024
6 reacties
Case Study

Heading

This is some text inside of a div block.
This is some text inside of a div block.
6 Comments

Als toonaangevend cyberbeveiligingsbedrijf geven we er prioriteit aan om onze klanten en lezers op de hoogte te houden van kritieke kwetsbaarheden die van invloed kunnen zijn op hun systemen. Vandaag duiken we in CVE-2024-6387, een ernstige kwetsbaarheid in OpenSSH die veel aandacht heeft gekregen vanwege de mogelijkheid om niet-geverifieerde externe code uit te voeren.

Wat is CVE-2024-6387?

CVE-2024-6387, ook bekend als „RegresShion”, is een kwetsbaarheid in de servercomponent (sshd) van OpenSSH die van invloed is op versies 8.5 tot 9.8. Dit probleem komt voort uit een raceconditie in de signaalverwerker, met name wanneer een client zich niet authenticeert binnen de Racetime registreren (standaard 120 seconden). De kwetsbaarheid wordt veroorzaakt door de asynchrone verwerking van het SIGALRM-signaal, dat functies aanroept die niet veilig zijn voor asynchroon signaalgebruik, zoals syslog ().

Hoe kan CVE-2024-6387 worden misbruikt?

Een aanvaller die CVE-2024-6387 gebruikt, kan op afstand willekeurige code uitvoeren op de doelserver zonder dat authenticatie nodig is. Hier volgt een stapsgewijs overzicht van het exploitatieproces:

  1. Initiatie van de verbinding: De aanvaller maakt verbinding met de OpenSSH-server, maar voltooit het authenticatieproces niet.
  2. Het beveiligingslek activeren: Wanneer de Racetime registreren vervalt, het SIGALRM-signaal wordt geactiveerd. Vanwege de raceconditie kan deze handler onveilige functies aanroepen.
  3. Uitvoering van de code: Door de verbinding zorgvuldig te maken en de exploitatie te timen, kan de aanvaller willekeurige opdrachten als root uitvoeren, wat kan leiden tot een mogelijk volledig systeemcompromis.

Wat is de impact?

Dit beveiligingslek heeft een CVSS v3-basisscore van 8,1, wat het classificeert als een zeer ernstig probleem. De mogelijke gevolgen omvatten ongeoorloofde toegang tot het systeem, datalekken en volledige controle over de getroffen servers.

Hoe kan ik dit controleren?

Om te bepalen of uw systemen worden beïnvloed door CVE-2024-6387, controleert u de geïnstalleerde OpenSSH-versie:

stoot

Code kopiëren

ssh -V

Als uw versie tussen 8.5 en 9.8 ligt, is uw systeem kwetsbaar. Voor geautomatiseerde en uitgebreide kwetsbaarheidsbeoordelingen, onze Oplossing voor kwetsbaarheidsbeheer kan deze en andere beveiligingsproblemen binnen uw infrastructuur snel identificeren.

Beperking en updates

OpenSSH updaten: De meest effectieve manier om CVE-2024-6387 te beperken, is door OpenSSH te updaten naar een 9.8p1. Op de meeste systemen kun je dit doen via de pakketbeheerder. Voorbeeldopdracht op Debian:

apt-get update & apt-get upgrade openssh-server

Tijdelijke beperking: Als onmiddellijk updaten niet mogelijk is, kunt u het risico tijdelijk beperken door in te stellen Racetime registreren naar 0 in het sshd_config bestand:

via /etc/ssh/sshd_config

InloggenRaceTime 0

Dit voorkomt dat de code op afstand wordt uitgevoerd, maar kan resulteren in een denial of service door alle Max Startups aansluitingen.

Gebruikmaken van onze oplossing voor kwetsbaarheidsbeheer

Het kan lastig zijn om dergelijke kwetsbaarheden in de gaten te houden en ervoor te zorgen dat ze tijdig worden bijgewerkt. Onze oplossing voor kwetsbaarheidsbeheer vereenvoudigt dit proces. Het scant uw netwerk, identificeert kwetsbaarheden en biedt gedetailleerde rapporten en herstelstappen. Deze proactieve aanpak zorgt ervoor dat uw systemen veilig zijn en voldoen aan de nieuwste beveiligingsnormen.

Start je gratis proefperiode van 14 dagen en begin meteen met scannen

Don't Wait for a Cyberattack—Act Now!

Try it for free
Inzichten verkrijgen

Ontdek en los kwetsbaarheden op in enkele seconden.

Probeer het nu. Op elk gewenst moment annuleren

Ga aan de slag