Mogelijk risico op uitvoering van code op afstand

Bepaalde versies van de beveiligde netwerksuite OpenSSH zijn vatbaar voor een nieuwe kwetsbaarheid die uitvoering van externe code (RCE) kan veroorzaken.

De kwetsbaarheid, gevolgd als CVE-2024-6409 (CVSS-score: 7,0), is anders dan CVE-2024-6387 (ook bekend als RegreSSHion) en heeft betrekking op een geval van code-uitvoering in het privsep-kindproces vanwege een raceconditie in signaalverwerking. Het heeft alleen invloed op versies 8.7p1 en 8.8p1 die zijn meegeleverd met Red Hat Enterprise Linux 9.

Beveiligingsonderzoeker Alexander Peslyak, die bekendstaat onder de alias Solar Designer, wordt gecrediteerd voor het ontdekken en melden van de bug. De bug werd ontdekt tijdens een beoordeling van CVE-2024-6387, nadat deze eerder deze maand door Qualys was bekendgemaakt.

“Het belangrijkste verschil met CVE-2024-6387 is dat de raceconditie en het RCE-potentieel worden geactiveerd in het privsep-onderliggende proces, dat met beperkte privileges wordt uitgevoerd vergeleken met het bovenliggende serverproces”, aldus Peslyak.

“Dus de directe impact is lager. Er kunnen echter verschillen zijn in de exploiteerbaarheid van deze kwetsbaarheden in een bepaald scenario, wat een van deze twee een aantrekkelijkere keuze kan maken voor een aanvaller, en als slechts een van deze is opgelost of verzacht, wordt de andere relevanter.”

Het is echter belangrijk om op te merken dat de race condition-kwetsbaarheid in de signaalhandler hetzelfde is als CVE-2024-6387. Als een client zich niet binnen LoginGraceTime seconden (standaard 120) authenticeert, wordt de SIGALRM-handler van het OpenSSH-daemonproces asynchroon aangeroepen. Deze handler roept vervolgens verschillende functies aan die niet async-signal-safe zijn.

“Dit probleem maakt het kwetsbaar voor een signaalhandler-raceconditie op de cleanup_exit()-functie, wat dezelfde kwetsbaarheid introduceert als CVE-2024-6387 in het niet-geprivilegieerde onderliggende element van de SSHD-server”, aldus de kwetsbaarheidsbeschrijving.

“Als gevolg van een succesvolle aanval kan de aanvaller in het ergste geval een externe code-uitvoering (RCE) uitvoeren binnen een niet-geprivilegieerde gebruiker die de sshd-server beheert.”

Er is inmiddels een actieve exploit voor CVE-2024-6387 gedetecteerd, waarbij een onbekende bedreiging zich voornamelijk richt op servers in China.

“De eerste vector van deze aanval is afkomstig van het IP-adres 108.174.58(.)28, waarvan werd gemeld dat het een directory host met exploittools en scripts voor het automatiseren van de exploitatie van kwetsbare SSH-servers”, aldus het Israëlische cybersecuritybedrijf Veriti.

Thijs Van der Does