Güvenlik araştırmacıları, OpenSSH sunucusundaki neredeyse yirmi yıllık bir güvenlik açığını yeniden canlandırdı ve bunu kök ayrıcalıkları kazanmak için kullanabildiler. Araştırmaları sırasında mevcut SSH sürümleri için çalışan bir istismar geliştirmeyi başardılar ancak bazı önkoşullar geçerli. Saldırganlar da acele etmemelidir: Başarılı bir saldırı birkaç saat sürer.
Duyuru
Bir “gerileme” (kelimenin tam anlamıyla “geri adım”), yazılım geliştiricilerinin, diğer şeylerin yanı sıra, halihazırda düzeltilmiş olan ancak kaynak kodundaki diğer değişikliklerin ardından yeniden ortaya çıkan bir hata olarak tanımladığı şeydir. Güvenlik şirketi Qualys'in çalışanları, OpenSSH projesinde benzer bir regresyon hatası buldu ve buna “RegreSSHion” adını verdi. Programlama hatası 2006'da CVE-2006-5051 olarak ortaya çıktı, ancak o zamanlar hiç kimse komutlarını yürütmek için bundan yararlanamadı. OpenSSH ekibi o sırada hatayı düzeltmiş olsa da Ekim 2020'de yanlışlıkla yeniden yüklendi.
Artık CVE Kimliği CVE-2024-6387 ile (bu resmi bir CVSS değeri değil, ancak editör ekibi en az 9,0/10 olarak tahmin ediyor) yeni sürümün aynı temel hata olması koşuluyla, başarısız SSH bağlantılarının sonlandırılmasıyla ilgili bir yarış koşulu. Bir istemci 120 saniye içinde kimlik doğrulama verisi göndermezse (süre yapılandırılabilir), SSH sunucusu syslog() çağrılarını kullanarak bu olayın günlüğe kaydedilmesini tetiklemek için Unix SIGALRM sinyalini gönderir. Ancak bunlar eşzamansız işlev çağrıları için tasarlanmamıştır, bu da saldırganların büyük bir zamanlama anlayışına sahip olarak kendi kodlarını enjekte etmelerine olanak tanır.
Qualys araştırmacıları bu kusurdan üç farklı ortamda başarıyla yararlanmayı başardılar: SSH sunucusunun 2006'daki iki eski sürümünde ve Debian GNU/Linux altındaki OpenSSH 9.2p1'de. Bu son sürüm 2024 yılına ait olduğundan oldukça günceldir. Qualys'e göre şu anda yalnızca glibc tabanlı sistemlere başarılı bir şekilde saldırı yapılabileceği görülüyor; özellikle OpenBSD'nin bağışıklığı var.
Exploit Geliştirme Lisesi
Sadece işletim sisteminin ve glibc'nin çeşitli güvenlik mekanizmalarını aşmak zorunda kalmadılar, aynı zamanda çok sabırlı olmaları da gerekiyordu: istismar yalnızca 120 saniyelik standart zaman aşımından sonra yaklaşık her on binde bir denemede işe yarıyor (LoginGraceTime) ve şu anda yalnızca 32 bit sistemlerde. SSH sunucusu yüz paralel bağlantıya izin veriyorsa, saldırganlar altı ila sekiz saat sonra başarılı olacaktır, ancak mevcut Debian standart kurulumu bu tür bağlantılardan yalnızca on tanesine izin vermektedir. Bu, Regresyon istismarının kök kabuğa yol açmasının muhtemelen çok daha uzun süreceği anlamına gelir.
Qualys araştırmacıları başlangıçta yalnızca i386 sistemlerinde başarılı olsa da, 64-bit Linux'a yönelik bir açığın hala çalışıldığını söylüyorlar. Ancak tamamlandığında 32 bitlik muadilinden daha yavaş olması bekleniyor: sekiz saatten fazla, ancak saldırganların kök ayrıcalıklarını kazanması bir haftadan kısa sürebilir.
Qualys uzmanları, hem güvenlik açığının kapsamlı bir teorik çıkarımını hem de bu güvenlik açığından yararlanmaya yönelik pratik girişimlerini yayınladı. Güvenlik notu, modern istismar geliştirmenin karmaşıklığına genel bir bakış sunuyor ve aynı zamanda bir siber suç romanı gibi okunuyor.
Yamalar mevcut
Qualys araştırmacılarına göre OpenSSH'nin aşağıdaki sürümleri savunmasızdır:
Güncelleme
1 Temmuz 2024,
16.21
Saat
Minimum CVSS puanı 9,9 değil 9,0'dır, CVSS:3,1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H. Saldırı karmaşıklığının düşük olduğunu varsayarsanız yine 10 alırsınız. Metni buna göre düzelttik. Ayrıca ana hikaye olarak Qualys'in bize sunduğu güvenlik açığı logosunu da kullandık.
(cku)
Duyuru
Bir “gerileme” (kelimenin tam anlamıyla “geri adım”), yazılım geliştiricilerinin, diğer şeylerin yanı sıra, halihazırda düzeltilmiş olan ancak kaynak kodundaki diğer değişikliklerin ardından yeniden ortaya çıkan bir hata olarak tanımladığı şeydir. Güvenlik şirketi Qualys'in çalışanları, OpenSSH projesinde benzer bir regresyon hatası buldu ve buna “RegreSSHion” adını verdi. Programlama hatası 2006'da CVE-2006-5051 olarak ortaya çıktı, ancak o zamanlar hiç kimse komutlarını yürütmek için bundan yararlanamadı. OpenSSH ekibi o sırada hatayı düzeltmiş olsa da Ekim 2020'de yanlışlıkla yeniden yüklendi.
Artık CVE Kimliği CVE-2024-6387 ile (bu resmi bir CVSS değeri değil, ancak editör ekibi en az 9,0/10 olarak tahmin ediyor) yeni sürümün aynı temel hata olması koşuluyla, başarısız SSH bağlantılarının sonlandırılmasıyla ilgili bir yarış koşulu. Bir istemci 120 saniye içinde kimlik doğrulama verisi göndermezse (süre yapılandırılabilir), SSH sunucusu syslog() çağrılarını kullanarak bu olayın günlüğe kaydedilmesini tetiklemek için Unix SIGALRM sinyalini gönderir. Ancak bunlar eşzamansız işlev çağrıları için tasarlanmamıştır, bu da saldırganların büyük bir zamanlama anlayışına sahip olarak kendi kodlarını enjekte etmelerine olanak tanır.
Qualys araştırmacıları bu kusurdan üç farklı ortamda başarıyla yararlanmayı başardılar: SSH sunucusunun 2006'daki iki eski sürümünde ve Debian GNU/Linux altındaki OpenSSH 9.2p1'de. Bu son sürüm 2024 yılına ait olduğundan oldukça günceldir. Qualys'e göre şu anda yalnızca glibc tabanlı sistemlere başarılı bir şekilde saldırı yapılabileceği görülüyor; özellikle OpenBSD'nin bağışıklığı var.
Exploit Geliştirme Lisesi
Sadece işletim sisteminin ve glibc'nin çeşitli güvenlik mekanizmalarını aşmak zorunda kalmadılar, aynı zamanda çok sabırlı olmaları da gerekiyordu: istismar yalnızca 120 saniyelik standart zaman aşımından sonra yaklaşık her on binde bir denemede işe yarıyor (LoginGraceTime) ve şu anda yalnızca 32 bit sistemlerde. SSH sunucusu yüz paralel bağlantıya izin veriyorsa, saldırganlar altı ila sekiz saat sonra başarılı olacaktır, ancak mevcut Debian standart kurulumu bu tür bağlantılardan yalnızca on tanesine izin vermektedir. Bu, Regresyon istismarının kök kabuğa yol açmasının muhtemelen çok daha uzun süreceği anlamına gelir.
Qualys araştırmacıları başlangıçta yalnızca i386 sistemlerinde başarılı olsa da, 64-bit Linux'a yönelik bir açığın hala çalışıldığını söylüyorlar. Ancak tamamlandığında 32 bitlik muadilinden daha yavaş olması bekleniyor: sekiz saatten fazla, ancak saldırganların kök ayrıcalıklarını kazanması bir haftadan kısa sürebilir.
Qualys uzmanları, hem güvenlik açığının kapsamlı bir teorik çıkarımını hem de bu güvenlik açığından yararlanmaya yönelik pratik girişimlerini yayınladı. Güvenlik notu, modern istismar geliştirmenin karmaşıklığına genel bir bakış sunuyor ve aynı zamanda bir siber suç romanı gibi okunuyor.
Yamalar mevcut
Qualys araştırmacılarına göre OpenSSH'nin aşağıdaki sürümleri savunmasızdır:
- Daha sonra CVE-2006-5051 veya CVE-2008-4109'un yanı sıra tarafından korunmadığı sürece 4.4p1'den önceki sürümlerde OpenSSH
- OpenSSH 8.5p1 ila 9.8; Hataları giderilen ilk sürüm OpenSSH 9.8p1'dir.
Güncelleme
1 Temmuz 2024,
16.21
Saat
Minimum CVSS puanı 9,9 değil 9,0'dır, CVSS:3,1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H. Saldırı karmaşıklığının düşük olduğunu varsayarsanız yine 10 alırsınız. Metni buna göre düzelttik. Ayrıca ana hikaye olarak Qualys'in bize sunduğu güvenlik açığı logosunu da kullandık.
(cku)