Home أخبار اكتشاف ثغرة أمنية جديدة في OpenSSH: خطر تنفيذ التعليمات البرمجية عن بعد

اكتشاف ثغرة أمنية جديدة في OpenSSH: خطر تنفيذ التعليمات البرمجية عن بعد

12
0

10 يوليو 2024غرفة الأخبارالثغرات الأمنية / أمن الشبكة

أصبحت إصدارات محددة من مجموعة الشبكات الآمنة OpenSSH عرضة لثغرة أمنية جديدة يمكنها أن تؤدي إلى تنفيذ التعليمات البرمجية عن بعد (RCE).

تختلف الثغرة الأمنية، التي تم تتبعها باسم CVE-2024-6409 (درجة CVSS: 7.0)، عن CVE-2024-6387 (المعروفة أيضًا باسم RegreSSHion) وتتعلق بحالة تنفيذ التعليمات البرمجية في عملية privsep الفرعية بسبب حالة سباق في معالجة الإشارة. وهي تؤثر فقط على الإصدارين 8.7p1 و8.8p1 المرفقين مع Red Hat Enterprise Linux 9.

تم نسب اكتشاف الثغرة والإبلاغ عنها إلى الباحث الأمني ​​ألكسندر بيسلياك، الملقب بـ Solar Designer، والذي تم العثور عليه أثناء مراجعة CVE-2024-6387 بعد أن تم الكشف عنها من قبل Qualys في وقت سابق من هذا الشهر.

قال بيسلياك: “الفرق الرئيسي عن CVE-2024-6387 هو أن حالة السباق وإمكانية RCE يتم تشغيلها في عملية privsep الفرعية، والتي تعمل بامتيازات مخفضة مقارنة بعملية الخادم الرئيسي”.

“لذا فإن التأثير المباشر أقل. ومع ذلك، قد تكون هناك اختلافات في إمكانية استغلال هذه الثغرات في سيناريو معين، مما قد يجعل أيًا منها خيارًا أكثر جاذبية للمهاجم، وإذا تم إصلاح أو تخفيف أحد هذه الثغرات فقط، فإن الثغرات الأخرى تصبح أكثر أهمية.”

ومع ذلك، تجدر الإشارة إلى أن ثغرة حالة سباق معالج الإشارة هي نفسها الموجودة في CVE-2024-6387، حيث إذا لم يقم العميل بالمصادقة خلال ثوانٍ LoginGraceTime (120 افتراضيًا)، فسيتم استدعاء معالج SIGALRM لعملية خادم OpenSSH بشكل غير متزامن، مما يستدعي بعد ذلك وظائف مختلفة ليست آمنة للإشارات غير المتزامنة.

“تترك هذه المشكلة الجهاز عرضة لحالة سباق معالج الإشارة في وظيفة cleanup_exit()، والتي تقدم نفس الثغرة الأمنية مثل CVE-2024-6387 في الطفل غير المتميز لخادم SSHD،” وفقًا لوصف الثغرة الأمنية.

“كنتيجة لهجوم ناجح، في أسوأ السيناريوهات، قد يتمكن المهاجم من تنفيذ تعليمات برمجية عن بعد (RCE) داخل مستخدم غير مخول بتشغيل خادم sshd.”

تم منذ ذلك الحين اكتشاف ثغرة أمنية نشطة لـ CVE-2024-6387 في البرية، حيث يستهدف ممثل التهديد غير المعروف الخوادم الموجودة بشكل أساسي في الصين.

وقالت شركة الأمن السيبراني الإسرائيلية فيريتي: “ينبع المتجه الأولي لهذا الهجوم من عنوان IP 108.174.58(.)28، والذي ورد أنه يستضيف دليلاً يسرد أدوات الاستغلال والبرامج النصية لأتمتة استغلال خوادم SSH المعرضة للخطر”.

هل وجدت هذا المقال مثيرًا للاهتمام؟ تابعنا على تويتر  ولينكدإن لقراءة المزيد من المحتوى الحصري الذي ننشره.

مصدر

LEAVE A REPLY

Please enter your comment!
Please enter your name here