Μια κρίσιμη ευπάθεια μόλις ταρακούνησε το OpenSSH, το θεμέλιο ασφαλούς απομακρυσμένης πρόσβασης του Linux, με αποτέλεσμα οι έμπειροι sysadmin να λουστούν με κρύο ιδρώτα.
Με την ονομασία “regreSSHion” και με αναγνωριστικό το CVE-2024-6387, αυτό το κενό ασφαλείας επιτρέπει την μη επικυρωμένη απομακρυσμένη εκτέλεση κώδικα (RCE) σε OpenSSH servers που τρέχουν σε συστήματα Linux που βασίζονται στο glibc.
Εδώ δεν μιλάμε για κάποια μικρή κλιμάκωση προνομίων. Αυτό το κενό ασφαλείας παραχωρεί πλήρη πρόσβαση root στο πιάτο. Για όσους γνωρίζουν από Linux και τους θυμίζει κάτι, η ευπάθεια είναι μια παλινδρόμηση του CVE-2006-5051, ένα σφάλμα που διορθώθηκε το 2006.
Αυτή η παλιά ευπάθεια με κάποιο τρόπο επέστρεψε στον κώδικα τον Οκτώβριο του 2020 με το OpenSSH 8.5p1 που την ανακάλυψε η Qualys Threat Research Unit. Δυστυχώς, αυτή η ευπάθεια επηρεάζει την προεπιλεγμένη διαμόρφωση και δεν χρειάζεται καμία αλληλεπίδραση με τον χρήστη για να γίνει το exploit. Με άλλα λόγια, είναι μια ευπάθεια που κρατά τους επαγγελματίες ασφαλείας ξύπνιους.
Ποιος ο αντίκτυπος αυτού του ελαττώματος;
Το OpenSSH είναι το de facto πρότυπο για ασφαλή απομακρυσμένη πρόσβαση και μεταφορά αρχείων σε συστήματα Unix, όπως τα Linux και macOS. Είναι ο ελβετικός σουγιάς ασφαλούς επικοινωνίας για sysadmins και προγραμματιστές σε όλο τον κόσμο.
Τα καλά νέα είναι ότι δεν έχουν όλες οι διανομές Linux τον ευάλωτο κώδικα.
Οι παλιές εκδόσεις OpenSSH παλαιότερες από την 4.4p1 είναι ευάλωτες, εκτός εάν έχουν επιδιορθωθεί για το CVE-2006-5051 και CVE-2008-4109.
Οι εκδόσεις από 4.4p1 έως και 8.5p1, δεν είναι ευάλωτες.
Τα κακά νέα είναι ότι η ευπάθεια επανεμφανίστηκε μέχρι και στο OpenSSH 8.5p1. Η έκδοση 9.8p1 δεν είναι ευάλωτη λόγω της τυχαίας αφαίρεσης ενός κρίσιμου στοιχείου.
Η Qualys εντόπισε πάνω από 14 εκατομμύρια δυνητικά ευάλωτους OpenSSH servers στο διαδίκτυο. Η εταιρεία πιστεύει ότι περίπου 700.000 από αυτούς είναι σίγουρα ευάλωτοι.
Να αναφέρουμε ότι κυκλοφορεί ήδη μια ενημέρωση (OpenSSH 9.8/9.8p1) αλλά για πολλές διανομές Linux, (όχι όλες), δεν έχουν προωθήσει το πακέτο για άμεση ενημέρωση.
Εάν μπορείτε να το αποκτήσετε, εγκαταστήστε το το συντομότερο δυνατό.
Εάν για οποιονδήποτε λόγο δεν μπορείτε να εγκαταστήσετε την ενημέρωση, θα πρέπει να ορίσετε το LoginGraceTime στο 0 (υπάρχει στο αρχείο διαμόρφωσης sshd) και να χρησιμοποιήσετε στοιχεία ελέγχου που βασίζονται στο δίκτυο για να περιορίσετε την πρόσβαση στο SSH, ενώ παράλληλα θα πρέπει να ρυθμίσετε firewall και εργαλεία παρακολούθησης για τον εντοπισμό και αποκλεισμό επερχόμενων exploit.