Cisco je izdao bezbjedonosnoupozorenje u vezi sa kritičnom ranjivošću u udaljenom izvršavanju koda (RCE), nazvanom „regreSSHion“, koja utiče na više proizvoda.
Ranjivost praćena kao CVE-2024-6387, otkrivena je od strane Qualys Threat Research Unit 1. jula 2024. Ona utječe na OpenSSH server (sshd) u Linux sistemima baziranim na glibc-u i ima potencijal da omogući neovlaštenim napadačima da dobiju root pristup zahvaćenim sistemima.
Detalji o ranjivosti
The regreSSion ranjivost je regresija starije greške (CVE-2006-5051) koja je ponovo uvedena u OpenSSH verziju 8.5p1, objavljenu u oktobru 2020.
Greška uključuje uslov trke u sshd-ovom SIGALRM rukovatelju, koji poziva funkcije koje nisu sigurne za asinhronizirani signal, kao što je syslog().
Napadač to može iskoristiti otvaranjem višestrukih veza i neuspjehom autentifikacije unutar LoginGraceTime perioda, asinhrono aktivirajući ranjivi rukovalac signalom.
Cisco je identifikovao nekoliko proizvoda u raznim kategorijama na koje utiče ova ranjivost.
Kompanija aktivno istražuje svoju liniju proizvoda kako bi utvrdila puni opseg pogođenih uređaja. Sljedeća tabela navodi zahvaćene proizvode i njihove odgovarajuće Cisco ID-ove grešaka:
| Kategorija proizvoda | ime proizvoda | ID Cisco greške | Fiksna dostupnost izdanja |
|---|---|---|---|
| Uređaji za sigurnost mreže i sadržaja | Softver Adaptive Security Appliance (ASA). | CSCwk61618 | |
| Softver centra za upravljanje vatrenom moći (FMC). | CSCwk61618 | ||
| Softver za odbranu od prijetnji od vatrene moći (FTD). | CSCwk61618 | ||
| FXOS Firepower Chassis Manager | CSCwk62297 | ||
| Identity Services Engine (ISE) | CSCwk61938 | ||
| Sigurna mrežna analitika | CSCwk62315 | ||
| Upravljanje mrežom i obezbjeđivanje | Crosswork Data Gateway | CSCwk62311 | 7.0.0 (avg 2024.) |
| Cyber Vision | CSCwk62289 | ||
| DNK Spaces Connector | CSCwk62273 | ||
| Prime Infrastructure | CSCwk62276 | ||
| Smart Software Manager On-Prem | CSCwk62288 | ||
| Virtualizirani upravitelj infrastrukture | CSCwk62277 | ||
| Routing and Switching – Enterprise and Service Provider | ASR ruteri serije 5000 | CSCwk62248 | |
| Prekidači serije Nexus 3000 | CSCwk61235 | ||
| Prekidači serije Nexus 9000 u samostalnom NX-OS načinu rada | CSCwk61235 | ||
| Unified Computing | Intersight virtuelni uređaj | CSCwk63145 | |
| Uređaji za govor i objedinjene komunikacije | Hitna pomoć | CSCwk63694 | |
| Unified Communications Manager | CSCwk62318 | ||
| Unified Communications Manager IM & Presence Service | CSCwk63634 | ||
| Unity Connection | CSCwk63494 | ||
| Video, Streaming, TelePresence i uređaji za transkodiranje | Cisco Meeting Server | CSCwk62286 | SMU – CMS 3.9.2 (avgust 2024.) |
Ublažavanje i preporuke
Cisco preporučuje nekoliko koraka za ublažavanje rizika od eksploatacije:
- Ograničite SSH pristup : Ograničite SSH pristup samo na pouzdane hostove. Ovo se može postići primjenom lista kontrole pristupa infrastrukturi (ACL) kako bi se spriječio neovlašteni pristup SSH uslugama.
- Nadogradite OpenSSH : Nadogradite na najnoviju zakrpljenu verziju OpenSSH-a (9.8p1) čim postane dostupna u spremištima paketa Linux distribucija.
- Podesite LoginGraceTime : Postavite LoginGraceTimeparametar na 0 u sshd konfiguracijskoj datoteci kako biste spriječili stanje utrke, iako to može dovesti do uskraćivanja usluge ako svi slotovi za konekciju budu zauzeti[1][6][7].
Cisco Product Security Incident Response Team (PSIRT) zna da je za ovu ranjivost dostupan eksploatacijski kod za dokaz koncepta. Međutim, eksploatacija zahtijeva prilagođavanje i nije bilo izvještaja o zlonamjernom korištenju.
Cisco nastavlja da procenjuje uticaj svih proizvoda i usluga i ažuriraće savete kako nove informacije budu dostupne.
RegreSSHion ranjivost predstavlja značajan rizik za širok spektar Cisco proizvoda.
Korisnici se pozivaju da prate preporuke kompanije Cisco i primenjuju neophodne zakrpe i ublažavanja kako bi zaštitili svoje sisteme od potencijalne eksploatacije.
Izvor:CybersecurityNews