Odabrane verzije paketa za sigurno umrežavanje OpenSSH podložne su novoj ranjivosti koja može pokrenuti daljinsko izvršavanje koda (RCE).
Ranjivost, praćena kao CVE-2024-6409 (CVSS rezultat: 7,0), razlikuje se od CVE-2024-6387 (aka RegreSSHion) i odnosi se na slučaj izvršenja koda u procesu privsep dijete zbog stanja trke u rukovanju signalom . Utječe samo na verzije 8.7p1 i 8.8p1 koje se isporučuju s Red Hat Enterprise Linux 9.
Istraživač sigurnosti Alexander Peslyak, koji je poznat kao Solar Designer, zaslužan je za otkrivanje i prijavu greške, koja je pronađena tokom pregleda CVE-2024-6387 nakon što je Qualys otkrio potonjeg ranije ovog mjeseca.
“Glavna razlika u odnosu na CVE-2024-6387 je u tome što se stanje trke i potencijal RCE pokreću u privsep podređenom procesu, koji radi sa smanjenim privilegijama u poređenju sa procesom roditeljskog servera”, rekao je Peslyak .
“Dakle, neposredni uticaj je manji. Međutim, mogu postojati razlike u iskoristivosti ovih ranjivosti u određenom scenariju, što bi jednu od ovih slabosti moglo učiniti privlačnijim izborom za napadača, a ako se samo jedna od njih popravi ili ublaži onda drugi postaje relevantniji.”
Međutim, vrijedno je napomenuti da je ranjivost uvjeta utrke rukovaoca signalom ista kao i CVE-2024-6387, pri čemu ako klijent ne izvrši autentifikaciju unutar LoginGraceTime sekundi (120 prema zadanim postavkama), onda se SIGALRM rukovatelj procesa OpenSSH demon poziva asinhrono, koji zatim poziva različite funkcije koje nisu sigurne za asinhronizirani signal.
„Ovaj problem ga čini ranjivim na uslov trke rukovaoca signalom na funkciji cleanup_exit(), koja uvodi istu ranjivost kao CVE-2024-6387 u neprivilegovanom detetu SSHD servera“, prema opisu ranjivosti .
“Kao posljedica uspješnog napada, u najgorem slučaju, napadač može biti u mogućnosti da izvrši daljinsko izvršavanje koda (RCE) unutar neprivilegovanog korisnika koji pokreće sshd server.”
Aktivni eksploat za CVE-2024-6387 je od tada otkriven u divljini, a nepoznati haker cilja na servere prvenstveno locirane u Kini.
„Inicijalni vektor ovog napada potiče od IP adrese 108.174.58[.]28 , za koju se navodi da je domaćin direktorijuma koji sadrži alate za eksploataciju i skripte za automatizaciju eksploatacije ranjivih SSH servera“, rekla je izraelska kompanija za cyber sigurnost Veriti .
Izvor:The Hacker News