Nieuwe OpenSSH-kwetsbaarheid kan leiden tot RCE als root op Linux-systemen

OpenSSH-beheerders hebben beveiligingsupdates uitgebracht om een ​​kritieke beveiligingsfout te dichten die kan leiden tot niet-geverifieerde uitvoering van code op afstand met root-rechten in glibc-gebaseerde Linux-systemen.

De kwetsbaarheid, met de codenaam regreSSHion, heeft de CVE-identificatiecode CVE-2024-6387 gekregen. Deze bevindt zich in het OpenSSH-serveronderdeel, ook bekend als sshd, dat is ontworpen om te luisteren naar verbindingen van alle clienttoepassingen.

“De kwetsbaarheid, die een signaalhandlerraceconditie is in de server van OpenSSH (sshd), staat niet-geverifieerde uitvoering van externe code (RCE) toe als root op glibc-gebaseerde Linux-systemen,” zei Bharat Jogi, senior director van de threat research unit bij Qualys, in een vandaag gepubliceerde openbaarmaking. “Deze raceconditie treft sshd in zijn standaardconfiguratie.”

Het cybersecuritybedrijf zei dat het maar liefst 14 miljoen potentieel kwetsbare OpenSSH-serverinstanties had geïdentificeerd die waren blootgesteld aan het internet. Het gaat daarbij om een ​​regressie van een 18 jaar oude fout die al was gepatcht en die bekendstond als CVE-2006-5051. Het probleem deed zich in oktober 2020 opnieuw voor als onderdeel van OpenSSH versie 8.5p1.

“Succesvolle exploitatie is aangetoond op 32-bit Linux/glibc-systemen met (address space layout randomization)”, aldus OpenSSH in een advies. “Onder laboratoriumomstandigheden vereist de aanval gemiddeld 6-8 uur aan continue verbindingen tot het maximum dat de server accepteert.”

De kwetsbaarheid heeft invloed op versies tussen 8.5p1 en 9.7p1. Versies ouder dan 4.4p1 zijn ook kwetsbaar voor de race condition bug, tenzij ze worden gepatcht voor CVE-2006-5051 en CVE-2008-4109. Het is vermeldenswaard dat OpenBSD-systemen niet worden beïnvloed, omdat ze een beveiligingsmechanisme bevatten dat de fout blokkeert.

Het is waarschijnlijk dat het beveiligingsprobleem ook macOS en Windows treft. De mogelijkheid om het probleem op deze platforms te misbruiken, is echter nog niet bevestigd en vereist meer onderzoek.

Qualys ontdekte specifiek dat als een client zich niet binnen 120 seconden authenticeert (een instelling die is gedefinieerd door LoginGraceTime), de SIGALRM-handler van sshd asynchroon wordt aangeroepen op een manier die niet async-signal-safe is.

Het netto-effect van het misbruiken van CVE-2024-6387 is een volledige overname en inbreuk op het systeem. Hierdoor kunnen kwaadwillenden willekeurige code uitvoeren met de hoogste privileges, beveiligingsmechanismen omzeilen, gegevens stelen en zelfs permanente toegang behouden.

“Een fout die eenmaal is opgelost, is opnieuw verschenen in een volgende softwareversie, meestal als gevolg van wijzigingen of updates die het probleem onbedoeld opnieuw introduceren”, aldus Jogi. “Dit incident benadrukt de cruciale rol van grondige regressietesten om de herintroductie van bekende kwetsbaarheden in de omgeving te voorkomen.”

Hoewel de kwetsbaarheid aanzienlijke obstakels kent vanwege de remote race condition-aard, wordt gebruikers aangeraden de nieuwste patches toe te passen om zich te beveiligen tegen potentiële bedreigingen. Het is ook raadzaam om SSH-toegang te beperken via netwerkgebaseerde controles en netwerksegmentatie af te dwingen om ongeautoriseerde toegang en laterale beweging te beperken.

Thijs Van der Does