Potensi Risiko Eksekusi Kode Jarak Jauh

Bahasa Indonesia:10 Juli 2024Bahasa Indonesia:Ruang wartawanKerentanan / Keamanan Jaringan

Potensi Risiko Eksekusi Kode Jarak Jauh

Versi tertentu dari rangkaian jaringan aman OpenSSH rentan terhadap kerentanan baru yang dapat memicu eksekusi kode jarak jauh (RCE).

Kerentanan tersebut, yang dilacak sebagai CVE-2024-6409 (skor CVSS: 7.0), berbeda dari CVE-2024-6387 (alias RegreSSHion) dan berhubungan dengan kasus eksekusi kode di proses anak privsep karena kondisi balapan dalam penanganan sinyal. Ini hanya memengaruhi versi 8.7p1 dan 8.8p1 yang disertakan dengan Red Hat Enterprise Linux 9.

Peneliti keamanan Alexander Peslyak, yang dikenal dengan alias Solar Designer, dianggap berjasa menemukan dan melaporkan bug tersebut, yang ditemukan selama peninjauan CVE-2024-6387 setelah yang terakhir diungkapkan oleh Qualys awal bulan ini.

Keamanan cyber

“Perbedaan utama dari CVE-2024-6387 adalah bahwa kondisi balapan dan potensi RCE dipicu dalam proses anak privsep, yang berjalan dengan hak istimewa yang berkurang dibandingkan dengan proses server induk,” kata Peslyak dikatakan.

“Jadi dampak langsungnya lebih rendah. Namun, mungkin ada perbedaan dalam eksploitasi kerentanan ini dalam skenario tertentu, yang dapat menjadikan salah satu dari ini pilihan yang lebih menarik bagi penyerang, dan jika hanya satu dari ini yang diperbaiki atau dikurangi maka yang lain menjadi lebih relevan.”

Namun, perlu dicatat bahwa kerentanan kondisi balapan penangan sinyal sama dengan CVE-2024-6387, yang mana jika klien tidak mengautentikasi dalam LoginGraceTime detik (120 secara default), maka penangan SIGALRM proses daemon OpenSSH dipanggil secara asinkron, yang kemudian memanggil berbagai fungsi yang tidak aman terhadap sinyal asinkron.

“Masalah ini membuatnya rentan terhadap kondisi perlombaan pengendali sinyal pada fungsi cleanup_exit(), yang memperkenalkan kerentanan yang sama seperti CVE-2024-6387 pada anak server SSHD yang tidak memiliki hak istimewa,” menurut deskripsi kerentanan.

Keamanan cyber

“Sebagai konsekuensi dari serangan yang berhasil, dalam skenario terburuk, penyerang mungkin dapat melakukan eksekusi kode jarak jauh (RCE) dalam pengguna yang tidak memiliki hak istimewa yang menjalankan server sshd.”

Eksploitasi aktif untuk CVE-2024-6387 telah dilakukan terdeteksi di alam liar, dengan aktor ancaman tak dikenal yang menargetkan server yang sebagian besar berlokasi di Tiongkok.

“Vektor awal serangan ini berasal dari alamat IP 108.174.58(.)28yang dilaporkan menjadi tuan rumah direktori yang berisi daftar alat dan skrip eksploitasi untuk mengotomatiskan eksploitasi server SSH yang rentan,” perusahaan keamanan siber Israel Veriti dikatakan.

Apakah artikel ini menarik? Ikuti kami di Twitter Dan LinkedIn untuk membaca lebih banyak konten eksklusif yang kami posting.



Sumber