Een nieuwe OpenSSH ongeauthenticeerde remote code execution (RCE) kwetsbaarheid, genaamd “regreSSHion,” geeft root-privileges op op glibc-gebaseerde Linux-systemen.

OpenSSH is een suite van netwerkhulpprogramma’s gebaseerd op het Secure Shell (SSH) protocol. Het wordt veelal gebruikt voor veilige externe login, beheer en administratie van externe servers, en bestandsuitwisseling via SCP en SFTP.

Het lek, ontdekt door onderzoekers van Qualys in mei 2024 en toegewezen de identifier CVE-2024-6387, is te wijten aan een race conditie in de signal handler in sshd die onbevoegde externe aanvallers in staat stelt willekeurige code als root uit te voeren.

“Als een client zich niet authenticeert binnen LoginGraceTime seconden (standaard 120), wordt de SIGALRM handler van sshd asynchroon opgeroepen en voert verschillende functies uit die niet asynchroon signaalveilig zijn,” legt een Debian-beveiligingsbulletin uit.

“Een externe niet-geauthenticeerde aanvaller kan dit lek misbruiken om willekeurige code uit te voeren met root-privileges.”

Exploiteren van regreSSHion kan ernstige gevolgen hebben voor de doelservers, waaronder mogelijk volledige systeemovername.

Ondanks de ernst van het lek zegt Qualys dat regreSSHion moeilijk te exploiteren is en meerdere pogingen vereist om de benodigde geheugenbeschadiging te bereiken.

Er wordt echter opgemerkt dat AI-tools kunnen worden gebruikt om de praktische moeilijkheden te overwinnen en het slagingspercentage te verhogen.

Qualys heeft ook een technisch artikel gepubliceerd dat dieper ingaat op het exploitatieproces en mogelijke mitigatiestrategieën.

Mitigatie van regreSSHion

De regreSSHion kwetsbaarheid raakt OpenSSH-servers op Linux vanaf versie 8.5p1 tot, maar exclusief 9.8p1.

Versies 4.4p1 tot, maar exclusief 8.5p1 zijn niet kwetsbaar voor CVE-2024-6387 dankzij een patch voor CVE-2006-5051, die een eerder onveilige functie beveiligde.

Versies ouder dan 4.4p1 zijn kwetsbaar voor regreSSHion tenzij ze gepatcht zijn voor CVE-2006-5051 en CVE-2008-4109.

Qualys merkt ook op dat OpenBSD-systemen niet worden beïnvloed door dit lek dankzij een veilige mechanisme geïntroduceerd in 2001.

De beveiligingsonderzoekers merken ook op dat hoewel regreSSHion waarschijnlijk ook bestaat op macOS en Windows, de exploitabiliteit op deze systemen niet is bevestigd. Een aparte analyse is nodig om te bepalen of deze besturingssystemen kwetsbaar zijn.

Om het regreSSHion-lek in OpenSSH aan te pakken of te mitigeren, worden de volgende acties aanbevolen:

• Pas de laatste beschikbare update voor de OpenSSH-server toe (versie 9.8p1), die de kwetsbaarheid verhelpt.
• Beperk SSH-toegang met behulp van netwerkgebaseerde controles zoals firewalls en implementeer netwerksegmentatie om laterale beweging te voorkomen.
• Als de OpenSSH-server niet onmiddellijk kan worden bijgewerkt, stel dan ‘LoginGraceTime’ in op 0 in het sshd-configuratiebestand, maar let op dat dit de server kan blootstellen aan denial-of-service-aanvallen.

Scans van Shodan en Censys onthullen meer dan 14 miljoen via internet blootgestelde OpenSSH-servers, maar Qualys bevestigde een kwetsbare status voor 700.000 instanties op basis van hun CSAM 3.0-gegevens.