A fost descoperită o vulnerabilitate gravă de tip race condition în modul în care serverul OpenSSH (sshd) gestionează semnalele, care afectează sistemele care rulează AlmaLinux 9 și CentOS 9. Dacă un utilizator de la distanță inițiază o conexiune, dar nu reușește să se autentifice într-un anumit interval de timp, semnalul SIGALRM este declanșat asincron. În mod critic, gestionarul semnalului face apeluri la funcții precum syslog(), care nu sunt sigure de utilizat în acest context. Ca urmare, o exploatare reușită ar putea permite executarea codului de la distanță (RCE) de către un atacator neprivilegiat – o amenințare semnificativă la adresa securității serverului.

Această problemă afectează gazdele care rulează OpenSSH versiunea 8.7p1-43.el9, inclusiv cele care utilizează CentOS Linux 9. Vulnerabilitatea, identificată ca CVE-2024-6409, este menționată în changelog-ul de compilare OpenSSH. Este important să rețineți că scanerele de securitate precum Nessus nu pot verifica în mod direct deficiența, ci raportează în funcție de versiunile software detectate.

Ce este în pericol

OpenSSH este unul dintre cele mai frecvent utilizate servicii pe serverele Linux pentru administrarea sigură de la distanță. O vulnerabilitate în daemonul său principal (sshd) pune în pericol toate sistemele de acces la distanță și de automatizare.

Un exemplu de sistem afectat arată versiunea vulnerabilă a pachetului instalat:

[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64

Acțiune recomandată

Dacă executați AlmaLinux 9, CentOS 9 sau orice derivat care utilizează OpenSSH versiunea 8.7p1-43.el9, trebuie să efectuați imediat actualizarea la o versiune securizată – openssh-8.7p1-45.el9 sau mai recentă.

Procedura de actualizare

Pentru a verifica versiunea OpenSSH instalată:

rpm -qa | grep openssh-server

Pentru a aplica actualizarea:

sudo dnf update openssh

După actualizare, reporniți serviciul SSH:

sudo systemctl restart sshd

În cele din urmă, confirmați noua versiune:

rpm -qa | grep openssh-server

Sfat suplimentar de atenuare: Revizuirea setării LoginGraceTime

Ca un pas suplimentar, puteți revizui manual configurația SSH executând:

nano /etc/ssh/sshd_config

În interiorul fișierului, căutați linia:

#LoginGraceTime 0

Această directivă controlează cât timp așteaptă demonul SSH pentru ca un utilizator să se autentifice. Ajustarea acestei setări poate ajuta la reducerea suprafeței de atac prin minimizarea ferestrei de conectare permise pentru clienții neautentificați.

Servere monitorizate de AvaHost

Dacă serverele dvs. se află sub monitorizarea AvaHost, am identificat deja sistemele afectate. De exemplu, serverul lshost4.alexhost.com rulează versiunea vulnerabilă și trebuie să fie actualizat.

Concluzie

Această vulnerabilitate reprezintă un pericol real și prezent pentru sistemele nepatchate. Recomandăm insistent tuturor administratorilor să își verifice și să își actualizeze fără întârziere instalația OpenSSH. Riscul de executare a codului de la distanță nu poate fi supraestimat, în special pe infrastructura accesibilă publicului.

Pentru informații tehnice detaliate, consultați intrarea oficială CVE:
🔗 CVE-2024-6409 – NIST
🔗 Raport Nessus

Rămâneți în siguranță – mențineți-vă sistemele patch-uri și monitorizate.