Vandaag duiken we in CVE-2024-6387, een ernstige kwetsbaarheid in OpenSSH die veel aandacht heeft gekregen vanwege het potentieel om ongeauthenticeerde externe code uit te voeren.
Wat is CVE-2024-6387?
CVE-2024-6387, ook bekend als "regreSSHion", is een kwetsbaarheid in de servercomponent (sshd) van OpenSSH die versies 8.5 tot 9.8 treft. Dit probleem ontstaat door een racecondition in de signal handler, specifiek wanneer een client zich niet binnen de LoginGraceTime
(standaard 120 seconden) authenticeert. De kwetsbaarheid wordt veroorzaakt door de asynchrone verwerking van het SIGALRM-signaal, dat functies aanroept die niet veilig zijn voor async-signaalgebruik, zoals syslog()
.
Hoe kan CVE-2024-6387 worden misbruikt?
Een aanvaller die CVE-2024-6387 misbruikt, kan willekeurige code uitvoeren op de doelserver zonder authenticatie. Hier is een stapsgewijze beschrijving van het exploitatieproces:
Verbinding initiëren: De aanvaller maakt verbinding met de OpenSSH-server maar voltooit het authenticatieproces niet.
De kwetsbaarheid activeren: Wanneer de
LoginGraceTime
verloopt, wordt het SIGALRM-signaal geactiveerd. Door de racecondition kan deze handler onveilige functies aanroepen.Code-uitvoering: Door de verbinding zorgvuldig te manipuleren en de exploitatie te timen, kan de aanvaller willekeurige opdrachten als root uitvoeren, wat kan leiden tot een volledige systeemcompromittering.
Wat is de impact?
Deze kwetsbaarheid heeft een CVSS v3-basisscore van 8.1, wat het als een zeer ernstige kwestie classificeert. De mogelijke impact omvat ongeautoriseerde systeemtoegang, datalekken en volledige controle over getroffen servers.
Hoe te controleren?
Om te bepalen of uw systemen zijn getroffen door CVE-2024-6387, controleert u de geïnstalleerde OpenSSH-versie:
ssh -V
Als uw versie tussen 8.5 en 9.8 ligt, is uw systeem kwetsbaar. Voor geautomatiseerde en uitgebreide kwetsbaarheidsbeoordelingen kan onze Vulnerability Management Solution snel dit en andere beveiligingsproblemen binnen uw infrastructuur identificeren.
Mitigatie en updates
OpenSSH bijwerken: De meest effectieve manier om CVE-2024-6387 te mitigeren is door OpenSSH bij te werken naar 9.8p1. Op de meeste systemen kunt u dit doen via de pakketbeheerder. Voorbeeldcommando op Debian:
apt-get update && apt-get upgrade openssh-server
Tijdelijke mitigatie: Als direct updaten niet mogelijk is, kunt u het risico tijdelijk mitigeren door LoginGraceTime
in het sshd_config
-bestand op 0 te zetten:
vi /etc/ssh/sshd_config
LoginGraceTime 0
Dit voorkomt de uitvoering van externe code maar kan resulteren in een denial of service door het verbruiken van alle MaxStartups
-verbindingen.
Gebruikmaken van onze Vulnerability Management Solution
Het bijhouden van dergelijke kwetsbaarheden en het zorgen voor tijdige updates kan ontmoedigend zijn. Onze Vulnerability Management Solution vereenvoudigt dit proces. Het scant uw netwerk, identificeert kwetsbaarheden en biedt gedetailleerde rapporten en stappen voor mitigatie. Deze proactieve aanpak zorgt ervoor dat uw systemen veilig en in overeenstemming met de nieuwste beveiligingsnormen zijn.
Begin uw 14-daagse gratis proefperiode en begin onmiddellijk met scannen