Более 14 миллионов серверов могут быть уязвимы для уязвимости OpenSSH regreSSHion RCE. Вот что вам нужно сделать

OpenSSH, основа безопасного доступа к сети Linux, имеет серьезный недостаток безопасности.

Ребята, держите свои SSH-ключи! Критическая уязвимость только что потрясла OpenSSH, безопасную основу удаленного доступа Linux, заставив опытных системных администраторов покрыться холодным потом.

Эта неприятная ошибка, получившая название «regreSSHion» и помеченная как CVE-2024-6387, позволяет удаленное выполнение кода без аутентификации (RCE) на серверах OpenSSH, работающих в системах Linux на базе glibc. Мы не говорим здесь о каком-то незначительном повышении привилегий — этот недостаток передает полный root-доступ на серебряном блюде.

Для тех, кто несколько раз сталкивался с Linux, это похоже на дежавю. Уязвимость представляет собой регресс CVE-2006-5051, ошибки, исправленной еще в 2006 году. Этот старый враг каким-то образом пробрался обратно в код в октябре 2020 года с OpenSSH 8.5p1.

К счастью, отдел исследования угроз Qualys обнаружил этот цифровой скелет в шкафу OpenSSH. К сожалению, эта уязвимость затрагивает конфигурацию по умолчанию и для ее использования не требуется никакого взаимодействия с пользователем. Другими словами, это уязвимость, которая не дает специалистам по безопасности спать по ночам.

Трудно переоценить потенциальное влияние этого недостатка. OpenSSH — это фактический стандарт безопасного удаленного доступа и передачи файлов в Unix-подобных системах, включая Linux и macOS. Это швейцарский армейский нож для безопасной связи для системных администраторов и разработчиков по всему миру.

Хорошей новостью является то, что не все дистрибутивы Linux имеют уязвимый код. Старые версии OpenSSH, предшествующие 4.4p1, уязвимы к этому состоянию гонки обработчиков сигналов, если они не исправлены для CVE-2006-5051 и CVE-2008-4109.

Версии от 4.4p1 до 8.5p1 (кроме 8.5p1) не уязвимы. Плохая новость заключается в том, что уязвимость вновь появилась в OpenSSH 8.5p1 вплоть до 9.8p1 (но не включая) из-за случайного удаления критического компонента.

Qualys обнаружил более 14 миллионов потенциально уязвимых интернет-экземпляров серверов OpenSSH. Компания считает, что около 700 000 из этих внешних подключенных к Интернету экземпляров определенно уязвимы.

Исправление OpenSSH 9.8/9.8p1 теперь доступно. Многие, но не все, дистрибутивы Linux сделали его доступным. Если вы можете его получить, установите его как можно скорее.

Если по какой-то причине вы не можете установить патч, подумайте о том, чтобы защитить себя от уязвимости regreSSHion, задав для LoginGraceTime значение 0 в файле конфигурации sshd (по умолчанию это файл /etc/ssh/sshd_config). Этот параметр не является идеальным решением; это предотвратит эксплойты, но подвергнет ваши системы потенциальным атакам типа «отказ в обслуживании» (DoS).

Поэтому обязательно ограничьте доступ SSH к вашему серверу с помощью сетевых средств управления, чтобы ограничить потенциальные векторы атак. Поскольку этот тип атаки требует больших усилий, вам следует настроить брандмауэр и инструменты мониторинга сети так, чтобы обнаруживать и блокировать большое количество соединений, необходимых для использования этой уязвимости.

Наконец, следите за патчами OpenSSH. Они скоро выйдут. Когда они станут доступны, примените исправления как можно скорее.

Вы можете значительно уменьшить риск возникновения дыры в безопасности regreSSHion, реализовав эти меры — и вы будете рады, что сделали это.