Event:

Cyber Future Event - 12 september

Lees verder

Pinewood Security Bulletin – Vulnerability in OpenSSH server (CVE-2024-6387)

For English, see below.

Beschrijving

Op 1 juli 2024 is een kwetsbaarheid bekend gemaakt in OpenSSH server wanneer dit gebruikt wordt op glibc-gebaseerde Linux systemen. Deze kwetsbaarheid wordt regreSSHion genoemd (CVE-2024-6387). Het gaat om een raceconditie waarmee een ongeauthenticeerde aanvaller code kan uitvoeren met de hoogste (root) rechten op een systeem. Succesvol misbruik van deze kwetsbaarheid is complex omdat een individuele aanval een lage kans van slagen heeft. Daardoor moet een kwaadwillende over een langere periode aanvallen uitvoeren om deze kans te vergroten.

Er is een Proof-of-Concept (PoC) bekend gemaakt waarmee misbruik in een lab-omgeving is aangetoond. Afhankelijk van de omstandigheden en gebruikte OpenSSH Server versie duurt het tussen de 6 uur en een week om een succesvolle aanval uit te voeren. De verwachting is dat succesvol misbruik op een 64-bit besturingssysteem langer duurt.

De verwachting is dat het uitvoeren grootschalige aanvallen lastig is, met name omdat de aanval over een langere tijd uitgevoerd moet worden om een redelijke kans van slagen te hebben. Het is niet uitgesloten dat volgende versies van de aanvalscode deze kans vergroten en grootschalige aanvallen haalbaar worden.

Het Nederlandse NCSC heeft het risico van deze kwetsbaarheid op M/H (kans/impact) ingeschat.

Kwetsbare versies

Onderstaande lijst van OpenSSH Server versies is kwetsbaar als deze gebruikt wordt op een glibc-gebaseerd Linux systeem. Omdat er naast OpenSSH Server ook voorwaarden zijn in besturingssysteem-instellingen is het advies de security melding van de leverancier van het besturingssysteem na te lezen. Een aantal hiervan staan vermeld onder ‘meer informatie’.

  • OpenSSH Server < 4.4p1 (zie CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Houd er rekening mee dat hardware-apparaten Linux en/of OpenSSH Server als component kunnen gebruiken, wat mogelijk niet direct duidelijk is. Het is daarom aan te raden om de beveiligingsberichten van de leverancier van het apparaat in de gaten te houden, met name voor apparaten die SSH aan het internet blootstellen.

Oplossingen en tijdelijke mitigaties

De kwetsbaarheid is opgelost in de nieuwste versie van OpenSSH Server:

  • OpenSSH Server 9.8

Er is een tijdelijke oplossing beschikbaar door het aanpassen van de OpenSSH Server instelling ‘LoginGraceTime 0‘ en daarna de OpenSSH Server te herstarten.

De oplossing wordt met terugwerkende kracht uitgebracht voor oudere versies door verschillende softwareleveranciers. Zie de beveiligingsmelding van de leverancier van het besturingssysteem voor meer informatie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met de Pinewood Servicedesk. De servicedesk is bereikbaar via +31 15 251 36 33 en via support@pinewood.nl.

===== ENGLISH =====

Description

On 1 July 2024, a vulnerability was disclosed in OpenSSH server when used on glibc-based Linux systems. This vulnerability is called regreSSHion (CVE-2024-6387). It involves a race condition that allows an unauthenticated attacker to execute code with the highest (root) privileges on a system. Successful exploitation of this vulnerability is complex because an individual attack has a low chance of success. As a result, a malicious person has to perform attacks over a longer period of time to increase this probability.

A Proof-of-Concept (PoC) has been disclosed that demonstrated abuse in a lab environment. Depending on the circumstances and OpenSSH Server version used, it takes between 6 hours and a week to carry out a successful attack. Successful exploitation on a 64-bit operating system is expected to take longer.

Performing large-scale attacks is expected to be difficult, especially as the attack must be performed over a longer period of time to have a reasonable chance of success. It cannot be ruled out that subsequent versions of the attack code will increase this chance and make large-scale attacks feasible.

The Dutch NCSC has estimated the risk of this vulnerability at M/H (probability/impact).

Vulnerable versions

The below list of OpenSSH Server versions is in vulnerable if used on a glibc-based Linux system. As there are conditions in operating system settings besides OpenSSH Server, it is advisable to check the security notice from the operating system vendor. Some of these are listed under ‘more information’.

  • OpenSSH Server < 4.4p1 (see CVE-2006-5051)
  • OpenSSH Server 8.5p1 – 9.7p1

Please note that hardware appliances may utilise Linux and/or OpenSSH Server as a component, which may not be immediately apparent. Therefore, it is recommended to monitor security notices from the vendor of the appliance, particularly for appliances that have SSH exposed to the internet.

Solutions and workarounds

The vulnerability has been fixed in the latest version of OpenSSH Server:

  • OpenSSH Server 9.8

A temporary fix is available by modifying the OpenSSH Server setting ‘LoginGraceTime 0‘ and then restarting the OpenSSH Server.

The fix is being retroactively released for older versions by various software vendors. See the operating system vendor’s security notice for more information.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Service desk. The service desk can be contacted at +31 15 251 36 33 and via support@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl