חולשת אבטחה חמורה זוהתה ב-OpenSSH, המאפשרת הרצה מרחוק (CVE-2024-6387)

חדשות ואקטואליה
, , , ,
1

הקדמה

אז מה זה SSH? מתוך וויקיפדיה: Secure Shell (בראשי תיבות: SSH) הוא פרוטוקול לתקשורת מחשבים המאפשר ביצוע פעולות על מחשב מרוחק לאחר תהליך הזדהות (login). הוא נועד להחליף את rlogin ,RSH ו־telnet ולאפשר תקשורת מאובטחת ומוצפנת בין שני מחשבים לא תלויים ברשתות לא מאובטחות. SSH פועל מעל TCP, והפורט הסטנדרטי שלו הוא 22. [מקור]

ו-OpenSSH הוא כנראה הישום הכי נפוץ של הפרוטוקול, בשרתי לינוקס, BSD ואחרים. חולשות ב-OpenSSH אינן מפתיעות, מדובר בקוד דיי גדול (אם כי לא ענק), והוא יעד עבור רבים, בעקבות החשיבות ונפוצות שלו. שכן מדובר בשירות המאפשר גישה לשרת, לרוב הגישה אליו מוגבלת בצורה כזו (פיירוואל) או אחרת (vpn).

image

אז אם יש לכם שירות OpenSSH חשוף לעולם, אז תעדכנו בהקדם, ולאחר מכן תשקלו:

  • לשנות פורט דיפולטיבי (22) ולבצע בנוסף …
  • להגביל גישה מכתובות אי פי מסויימות.
  • אם אין לכם כתובת אי פי קבועה, להשתמש ב-Port Knocking.
  • לחשוף את השירות רק בטווחי כתובות פנימיות (שימוש ב-VPN).

הסבר על החולשה

החולשה היא למעשה רגרסיה של פתרון לחולשה אחרת שהתגלתה ב-2006 ולה ניתן הקוד CVE-2006-5051. צוות המחקר של Qualys אחראי על הזיהוי, והחולשה תקפה למערכות מבוססות GNU C Library (לינוקס), היא מבוססת על Race Condition שנגרם מתהליך ה-Timeout בעקבות הגדרה (ברירת מחדל) LoginGraceTime ותהליכי רקע שרצים בזמן שהניתוק מתבצע.

אפשר למצוא מידע טכני על החולשה כאן:

https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

גרסאות פגיעות

  • גרסאות מעל 8.5p1 (לא כולל).
  • גרסאות מתחת 9.8p1 (לא כולל).

טיפול

  • שדרוג גרסה, או לגרסה שמכילה טלאי עבור החולשה.
  • הגדרת LoginGraceTime עם ערך 0, אך זה יחשוף את השרת ל-DoS (גזילת כל החיבורים שממתינים לחיבורים חדשים).
ג'מיני AI

מה זה CVE-2024-6387?

CVE-2024-6387 היא חולשה חמורה מסוג ביצוע קוד מרחוק (RCE) בשרת OpenSSH (sshd) במערכות לינוקס מבוססות glibc.

מה ההשפעות של החולשה?

ניצול מוצלח של החולשה על ידי תוקף מרוחק מאפשר לו לקבל גישת root מלאה למערכת היעד, ללא צורך באימות.

מה גורם לחולשה?

החולשה נובעת מטיפול שגוי בניהול אותות ב-OpenSSH.

מי מושפע מהחולשה?

גרסאות OpenSSH בין 8.5p1 ל-9.8p1 מושפעות מהחולשה. חשוב לציין שגרסאות קודמות ל-8.5p1 וגרסאות 9.8p1 ואילך אינן פגיעות.

כיצד ניתן לתקן את החולשה?

הדרך הטובה ביותר לתקן את החולשה היא לעדכן לגרסה האחרונה של OpenSSH, שהיא 9.8p1. ניתן למצוא הוראות עדכון באתר האינטרנט של OpenSSH: https://www.openssh.com/

מה ניתן לעשות בנוסף לעדכון?

בנוסף לעדכון, מומלץ להפעיל אמצעי הגנה נוספים, כגון:

  • חומת אש חזקה
  • מערכת ניטור פולשים (IDS)
  • מערכת מניעת פולשים (IPS)
  • הגבלת גישת SSH לרשתות מהימנות

מהם ההשלכות של החולשה?

חולשה זו חמורה מאוד ויש לתקן אותה בהקדם האפשרי. ניצול מוצלח עלול להוביל לפגיעה משמעותית במערכות מושפעות, כולל גניבת נתונים, התקנת תוכנות זדוניות ואף השתלטות על מערכות.

מקורות מידע נוספים:

CVE-2024-38663 | Ubuntu

https://securityonline.info/cve-2024-6387-critical-openssh-unauthenticated-rce-flaw-regresshion-exposes-millions-of-linux-systems/

Red Hat Security Api | Red Hat Customer Portal Labs

NVD - CVE-2024-2022

חשוב לציין:

מידע זה אינו מהווה תחליף לייעוץ מקצועי. מומלץ להתייעץ עם מומחה אבטחת מידע מוסמך לקבלת הנחיות ספציפיות למצבכם