نسخههای منتخب مجموعه شبکه امن OpenSSH در معرض آسیبپذیری جدیدی هستند که میتواند اجرای کد از راه دور (RCE) را راهاندازی کند.
این آسیبپذیری که بهعنوان CVE-2024-6409 ردیابی میشود (امتیاز ۰/۷ در مقیاس CVSS)، از [۱]CVE-2024-6387 (معروف به RegreSSHion) متمایز است و به یک مورد از اجرای کد در privsep child process[2] به دلیل race condition در مدیریت سیگنال مربوط میشود. این آسیبپذیری تنها بر نسخههای ۸٫۷p1 و ۸٫۸p1 که با Red Hat Enterprise Linux 9 ارسال شدهاند، تأثیر میگذارد.
محقق امنیتی الکساندر پسلیاک، که با نام مستعار Solar Designer شناخته میشود، با کشف و گزارش این اشکال شناخته شده است، که در طی بررسی CVE-2024-6387 پس از افشای دومی توسط Qualys در اوایل ماه جاری، پیدا شد.
پسلیاک گفت[۳]: “تفاوت اصلی با CVE-2024-6387 این است که شرایط مسابقه و پتانسیل RCE درprivsep child process فعال میشوند، که با امتیازات کمتری نسبت به فرآیند سرور اصلی اجرا میشود.”
“بنابراین تأثیر فوری کمتر است. بااینحال، ممکن است در یک سناریوی خاص، تفاوتهایی در قابلیت بهرهبرداری از این آسیبپذیریها وجود داشته باشد، که میتواند یکی از این آسیبپذیریها را به انتخاب جذابتری برای مهاجم تبدیل کند، و اگر تنها یکی از این آسیبپذیریها رفع یا کاهش یابد، آنگاه میتوان گفت که دیگری مرتبطتر میشود.”
بااینحال، شایانذکر است که آسیبپذیری race condition کنترلکننده سیگنال همانند CVE-2024-6387 است، که در آن اگر یک کلاینت در مدتزمان LoginGraceTime (بهطور پیشفرض ۱۲۰ ثانیه) احراز هویت نکند، آنگاه کنترلکننده SIGALRM فرآیند شبح OpenSSH بهصورت ناهمزمان فراخوانی میشود. که سپس توابع مختلفی را فراخوانی میکند که async-signal-safe نیستند.
طبق توضیحات آسیبپذیری[۴]، «این مشکل آن را در برابر race condition کنترلکننده سیگنال در تابع cleanup_exit() آسیبپذیر میکند، که همان آسیبپذیری CVE-2024-6387 را در فرزند غیرمجاز سرور SSHD معرفی میکند».
“بهعنوان یک نتیجه از یک حمله موفقیتآمیز، در بدترین سناریو، مهاجم ممکن است قادر به اجرای یک کد از راه دور (RCE) در یک کاربر غیرمجاز که سرور sshd را اجرا میکند، باشد.”
یک بهرهبردار فعال برای CVE-2024-6387 از آن زمان در سطح اینترنت شناسایی شده است[۵] همراه با یک عامل تهدید ناشناخته که سرورهای اصلی را در چین هدف قرار میدهد.
شرکت امنیت سایبری Veriti گفت[۶]: “بردار اولیه این حمله از آدرس [۷]IP 108.174.58[.]28 سرچشمه میگیرد، که گزارش شده است که میزبان فهرستی است که ابزارهای بهرهبرداری و اسکریپتها برای خودکارسازی بهرهبرداری از سرورهای آسیبپذیر SSH را نشان میدهد.”
منابع
[۱] https://thehackernews.com/2024/07/new-openssh-vulnerability-discovered.html
[۲] https://github.com/openssh/openssh-portable/blob/master/README.privsep
[۳] https://www.openwall.com/lists/oss-security/2024/07/08/2
[۴] https://nvd.nist.gov/vuln/detail/CVE-2024-6409
[۵] https://x.com/raghav127001/status/1808317996747874685
[۶] https://www.virustotal.com/gui/url/e79d09b79e2fed4bdefdf8dc7681c369cdd3f14f131e6ee0c0e22bf6d38d07a8/details
[۷] https://veriti.ai/blog/regresshion-cve-2024-6387-a-targeted-exploit-in-the-wild
[۸] https://thehackernews.com/2024/07/new-openssh-vulnerability-discovered.html
ثبت ديدگاه