Asurgent Cybersäkerhetsblogg: Sårbarhet i OpenSSH: CVE-2024-6387 (regreSSHion)

Vad är CVE-2024-6387?

CVE-2024-6387 är en buffertöverflödesvulnerability i OpenSSH som påverkar versioner före 4.4p1 och 8.5p1 till 9.8p1. Den uppstår på grund av bristfällig validering av användardata under SSH-handshake-processen. Detta gör det möjligt för en angripare att skicka speciellt utformade förfrågningar som överflödar bufferten och tillåter godtycklig kodkörning.

CVE-Score

Denna sårbarhet har en CVSS-score på 8.1, vilket klassificeras som hög. Den höga poängen reflekterar den allvarliga påverkan och lättheten att utnyttja sårbarheten utan behov av autentisering.

Hur är man sårbar och vad händer?

System som använder sårbara versioner av OpenSSH och är tillgängliga från internet är utsatta för denna sårbarhet. Om en angripare utnyttjar sårbarheten kan de få fullständig kontroll över systemet, inklusive möjligheten att köra godtycklig kod, stjäla data, och installera skadlig programvara.

Hur påverkar detta dig?

Om dina system använder de sårbara versionerna av OpenSSH och är tillgängliga från internet, är de utsatta för denna sårbarhet. Specifikt påverkas de system som kör OpenSSH versioner tidigare än 4.4p1 och mellan 8.5p1 och 9.8p1.

Har sårbarheten utnyttjats aktivt?

Inga bekräftade fall av aktivt utnyttjande av denna sårbarhet har rapporterats ännu. Men risken för exploatering är hög på grund av OpenSSHs utbredda användning.

Hur kan jag ta reda på om jag är sårbar?

1. Kontrollera din OpenSSH-version: Använd kommandot ssh -V för att visa den installerade versionen av OpenSSH.
2. Granska systemloggar: Övervaka dina loggfiler för ovanlig aktivitet som kan indikera försök att utnyttja sårbarheten.
3. Sårbarhetsskanning: Använd verktyg som Qualys eller Nessus för att skanna dina system efter kända sårbarheter, inklusive CVE-2024-6387.

Åtgärder för att skydda dina system

1. Uppdatera OpenSSH: Uppgradera till version 9.8p1 eller senare för att eliminera sårbarheten.
2. Begränsa SSH-åtkomst: Tillåt endast betrodda nätverk och användare att ansluta till dina SSH-servrar.
3. Stark autentisering: Använd nyckelbaserad autentisering och inaktivera lösenordsinloggningar om möjligt.
4. Övervakning och granskning: Övervaka regelbundet SSH-åtkomstloggar för ovanlig aktivitet och granska din SSH-konfiguration för att följa säkerhetsbästa praxis.

Tillfällig lösning

Om en uppdatering inte är möjlig kan sårbarheten tillfälligt mildras genom att sätta LoginGraceTime till 0 i SSH-konfigurationsfilen. Detta kan leda till en överbelastning, men skyddar mot fjärrkodskörning.

Vem upptäckte sårbarheten?

Sårbarheten upptäcktes av forskare på Qualys, ett ledande företag inom säkerhet och efterlevnad.

Hur många tros vara påverkade?

Enligt experter tros miljontals Linux-system vara påverkade av denna sårbarhet på grund av den utbredda användningen av OpenSSH i många olika typer av servrar och enheter. Brandväggar i sig påverkas inte direkt av sårbarheten, men system som skyddas av brandväggar och använder de sårbara versionerna av OpenSSH är i riskzonen. Det är därför viktigt att uppdatera både interna och externa servrar som använder OpenSSH för att minimera risken för angrepp.

Slutsats

Sårbarheten CVE-2024-6387 i OpenSSH utgör ett allvarligt hot mot säkerheten för många system. Det är avgörande att omedelbart vidta åtgärder för att skydda dina system och säkerställa att de är uppdaterade och korrekt konfigurerade.

För mer detaljerad information och tekniska råd, besök följande resurser:

-     CVE-2024-6387 på MITRE

-     Qualys Security Blog

-     Cert se