FreeBSD ranjivost CVE-2024-7589

AUTOR ·

FreeBSD projekat je nedavno obratio pažnju na ozbiljnu OpenSSH ranjivost: CVE-2024-7589. Ranjivost je dobila CVSS ocjenu 7.4 od 10.0, naglašavajući njenu kritičnost. Greška nastaje zbog rukovaoca signalom u sshd(8), koji može nenamjerno da pokrene funkciju evidentiranja. Zlonamjerni akteri mogu da iskoriste ovu lančanu reakciju za daljinsko izvršavanje kôda.

FreeBSD

FreeBSD ranjivost CVE-2024-7589; Source: Bing Image Creator

FREEBSD RANJIVOST

OpenSSH je popularan alat za siguran daljinski pristup i komunikaciju, što ga čini privlačnom metom za zlonamjerne aktere koji imaju za cilj da steknu neovlašteni ulazak u sistem u zlonamjerne svrhe. FreeBSD OpenSSH CVE-2024-7589 ranjivost nastaje zbog stanje utrkivanja u rukovaocu signala unutar sshd(8). Ova komponenta je odgovorna za rukovanje autentifikacijom klijenta i upravljanje vezama, izvršavanje u privilegovanom kontekstu sshd(8), koji radi sa punim root privilegijama.

Problem leži u činjenici da ovaj kôd poziva funkcije bez asinhronog signala tokom događaja asinhronog signala, što ga čini podložnim iskorištavanju od strane zlonamjernog aktera. Sa potencijalom za daljinsko izvršavanje kôda i povišene privilegije, zlonamjerni akteri mogu da izazovu značajnu štetu ranjivim sistemima. Oni mogu ugroziti osjetljive informacije, poremetiti operacije ili čak dobiti neovlašteni pristup kritičnim resursima.

 

Funkcionisanje

Osnovni uzrok ranjivosti leži u obrađivaču signala u sshd(8), koji je odgovoran za rukovanje različitim događajima tokom SSH sesije. Kada klijent ne uspije da se autentifikuje u okviru navedenog LoginGraceTime (podrazumijevano na 120 sekundi), ovaj rukovalac signalom se izvršava, pokrećući funkciju evidentiranja. Nažalost, kao što su naveli održavaoci FreeBSD projekta, upravljač signalom se poziva kada se klijent ne autentifikuje u predviđenom LoginGraceTime roku i izvršava se u kontekstu sshd(8) privilegovanog kôda.

Ovaj problem predstavlja značajan rizik za sisteme koji koriste OpenSSH na FreeBSD sistemima, jer bi zlonamjerni akter potencijalno mogao da iskoristi ovu ranjivost pokretanjem rukovaoca signalom na različite načine. Kada se izvrši, zlonamjerni akteri mogu dobiti daljinski pristup i izvršiti proizvoljan kôd sa povišenim privilegijama – u suštini preuzimajući kontrolu nad pogođenim sistemom.

Ova ranjivost nije samostalna pojava; dijeli sličnosti sa još jednim ozbiljnom ranjivošću koja je izašla na vidjelo ranije: CVE-2024-6387, takođe poznat kao regreSSHion. Obije ranjivosti potiču iz istog osnovnog problema – nepravilnog rukovanja signalima unutar OpenSSH kôdne baze.

 

Uticaj

Uticaji ove ranjivosti su značajne iz nekoliko razloga. Prvo, OpenSSH je osnovna komponenta za siguran daljinski pristup u mnogim organizacijama. Kao takav, uticaj eksploatacije može biti dalekosežan, potencijalno kompromitujući osjetljive informacije, ometajući operacije, pa čak i omogućavanje neovlaštenog pristupa kritičnim resursima.

Drugo, zlonamjerni akteri bi mogli da iskoriste ovu ranjivost da dobiju početni pristup sistemu ili eskaliraju privilegije na već kompromitovanim sistemima. Kada steknu uporište u ciljnom okruženju, mogu koristiti različite tehnike kao što su eskalacija privilegija, bočno kretanje i eksfiltracija podataka kako bi dalje proširili svoju površinu napada.

Treće, ova ranjivost bi se mogla iskoristiti kroz više vektora, uključujući daljinski pristup preko SSH ili čak lokalne napade ako zlonamjerni akter dobije fizički pristup sistemu.

Da bi ublažili ove rizike, održavaoci FreeBSD projekta su objavili hitne bezbjednosne ispravke koje se bave ovom ranjivošću. Administratori sistema se snažno ohrabruju da odmah primjene ispravke kako bi zaštitili svoje sisteme od potencijalnih napada.

 

ZAKLJUČAK

OpenSSH je suštinski alat za siguran daljinski pristup i komunikaciju, što ga čini glavnom metom za zlonamjerne aktere koji traže neovlašteni upad u sistem. Uz ovu ranjivost, napadač bi mogao daljinski da izvrši proizvoljan kôd sa povišenim privilegijama, a  uticaj takvog podviga je značajan i dalekosežan.

CVSS ocjena od 7.4 naglašava kritičnu prirodu i potencijalni uticaj ove ranjivosti, pa je od ključne je važnosti da organizacije daju prioritet ažuriranju OpenSSH instalacija što je pre moguće kako bi se minimizirala izloženost i smanjio rizik od eksploatacije.

Identifikacija i brza reakcija FreeBSD projekta na ranjivost CVE-2024-7589 u njihovoj implementaciji OpenSSH je svjedočanstvo njihove posvećenosti održavanju bezbjednih sistema za svoje korisnike. Međutim, on takođe služi kao važan podsjetnik da prijetnje sajber bezbjednosti stalno evoluiraju i da organizacije moraju da ostanu budne i proaktivne u blagovremenoj primjeni bezbjednosnih ispravki kako bi se zaštitile od potencijalnih ranjivosti.

 

ZAŠTITA

Da bi se zaštitili FreeBSD sistemi od otkrivene OpenSSH ranjivosti CVE-2024-7589, mogu se primijeniti sljedeće preporuke:

  1. Najefikasniji način za ublažavanje ovog rizika je ažuriranje vaše OpenSSH instalacije na ispravljenu verziju. Ovo se može uraditi korišćenjem sistema FreeBSD paketa ili ručnim preuzimanjem i instaliranjem najnovije verzije sa zvanične internet stranice. Obavezno je ponovno pokretanje sshd nakon ažuriranja da bi promjene stupile na snagu,
  2. U slučajevima kada ažuriranje OpenSSH nije opcija, može se podesiti promjenjiva LoginGraceTime u datoteci /etc/ssh/sshd_config na nulu (0) i obavezno ponovno pokretanje sshd nakon ovog podešavanja. Ova promjena će spriječiti daljinsko izvršavanje kôda, ali će učinit sshd ranjivim na napad uskraćivanja usluge,
  3. Potrebno je razumjeti ranjivost, shvatajući da OpenSSH ranjivost leži u rukovaocu signalom koji poziva funkciju evidentiranja koja nije bezbjedna za asinhronizovani signal. Kada SSH klijent ne uspije da se autentifikuje u okviru navedenog LoginGraceTime, poziva se ovaj rukovalac signalom i može da izazove pad sistemske usluge (eng. daemon) ili dozvoli daljinsko izvršavanje kôda sa povišenim privilegijama,
  4. Kako bi dodatno zaštitili FreeBSD sistem od potencijalnih napada, razmisliti o primjeni ovih praksi:
    • Koristiti jake SSH ključeve umjesto lozinki za autentifikaciju,
    • Omogućiti autentifikaciju u dva koraka (2FA) gdje je to moguće,
    • Konfigurisati fail2ban ili drugu alatku za sprečavanje upada da bi se blokirali pokušaji pokušaje grube sile i druge sumnjive aktivnosti.
    • Redovno pregledati sistemske evidencije u potrazi za bilo kakvim neuobičajenim aktivnostima,
    • Održavati sav instalirani softver ažurnim sa najnovijim bezbjednosnim ispravkama,
  5. Nadgledati svoje sisteme i biti informisan o novim ranjivostima, prijetnjama i najboljim praksama prateći pouzdane resurse za sajber bezbjednost. Ovo će pomoći da se ostane ispred potencijalnih napada i da se osigura bezbjednost sistema.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.