Обнаружена серьезная уязвимость состояния гонки в обработке сигналов сервером OpenSSH (sshd), которая затрагивает системы под управлением AlmaLinux 9 и CentOS 9. Если удаленный пользователь инициирует соединение, но не проходит аутентификацию в течение определенного таймаута, асинхронно срабатывает сигнал SIGALRM. Критически важно, что обработчик сигнала вызывает такие функции, как syslog(), которые небезопасно использовать в данном контексте. В результате успешная эксплуатация может позволить удаленное выполнение кода (RCE) непривилегированным злоумышленником, что представляет значительную угрозу безопасности сервера.

Данная проблема затрагивает узлы, на которых работает OpenSSH версии 8.7p1-43.el9, включая те, которые используют CentOS Linux 9. Уязвимость, идентифицированная как CVE-2024-6409, упоминается в журнале изменений сборки OpenSSH. Важно отметить, что такие сканеры безопасности, как Nessus, могут не подтверждать наличие уязвимости напрямую, а сообщать о ней на основе обнаруженных версий ПО.

Что находится под угрозой

OpenSSH – одна из наиболее часто используемых служб на Linux-серверах для безопасного удаленного администрирования. Уязвимость в его основном демоне (sshd) подвергает риску все системы удаленного доступа и автоматизации.

Пример затронутой системы показывает установленную версию уязвимого пакета:

[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64

Рекомендуемые действия

Если вы работаете под управлением AlmaLinux 9, CentOS 9 или любой другой производной, использующей OpenSSH версии 8.7p1-43.el9, вам следует немедленно обновиться до безопасной версии – openssh-8.7p1-45.el9 или более новой.

Процедура обновления

Чтобы проверить версию установленного OpenSSH:

rpm -qa | grep openssh-server

Применить обновление:

sudo dnf update openssh

После обновления перезапустите службу SSH:

sudo systemctl restart sshd

Наконец, подтвердите новую версию:

rpm -qa | grep openssh-server

Дополнительный совет по устранению последствий: Просмотр настройки LoginGraceTime

В качестве дополнительного шага вы можете вручную просмотреть конфигурацию SSH, выполнив команду:

nano /etc/ssh/sshd_config

Внутри файла найдите строку:

#LoginGraceTime 0

Эта директива управляет тем, как долго демон SSH ожидает аутентификации пользователя. Настройка этого параметра может помочь уменьшить площадь атаки за счет минимизации окна разрешенных подключений для неаутентифицированных клиентов.

Серверы, контролируемые AvaHost

Если ваши серверы находятся под мониторингом AvaHost, мы уже выявили затронутые системы. Например, сервер lshost4.alexhost.com работает под управлением уязвимой версии и должен быть обновлен.

Заключение

Данная уязвимость представляет собой реальную и настоящую опасность для непропатченных систем. Мы настоятельно рекомендуем всем администраторам проверить и обновить свою установку OpenSSH без промедления. Риск удаленного выполнения кода невозможно переоценить, особенно в общедоступной инфраструктуре.

Для получения подробной технической информации обратитесь к официальной записи CVE:
🔗 CVE-2024-6409 – NIST
🔗 Отчет Nessus

Оставайтесь в безопасности – следите за своими системами и исправляйте их.