Виявлено серйозну уразливість в обробці сигналів сервером OpenSSH (sshd), що впливає на системи під керуванням AlmaLinux 9 та CentOS 9. Якщо віддалений користувач ініціює з’єднання, але не проходить аутентифікацію протягом певного таймауту, асинхронно спрацьовує сигнал SIGALRM. Критично важливо, що обробник сигналу викликає такі функції, як syslog(), які небезпечно використовувати в даному контексті. В результаті, успішний експлойт може дозволити віддалене виконання коду (RCE) непривілейованим зловмисником, що є значною загрозою для безпеки сервера.

Ця проблема зачіпає хости з OpenSSH версії 8.7p1-43.el9, в тому числі ті, що використовують CentOS Linux 9. Посилання на уразливість, що ідентифікована як CVE-2024-6409, міститься в журналі змін збірки OpenSSH. Важливо відзначити, що такі сканери безпеки, як Nessus, можуть не перевіряти вразливість безпосередньо, а надавати звіти на основі виявлених версій програмного забезпечення.

Що під загрозою

OpenSSH – це один з найпоширеніших сервісів на серверах Linux для безпечного віддаленого адміністрування. Уразливість в його основному демоні (sshd) ставить під загрозу всі системи віддаленого доступу та автоматизації.

На прикладі ураженої системи показана версія встановленого вразливого пакету:

[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64

Рекомендовані дії

Якщо ви використовуєте AlmaLinux 9, CentOS 9 або будь-яку іншу похідну систему з OpenSSH версії 8.7p1-43.el9, вам слід негайно оновитися до безпечної версії – openssh-8.7p1-45.el9 або новішої.

Процедура оновлення

Щоб перевірити встановлену версію OpenSSH:

rpm -qa | grep openssh-server

Щоб застосувати оновлення:

sudo dnf update openssh

Після оновлення перезапустіть службу SSH:

sudo systemctl restart sshd

Нарешті, підтвердіть нову версію:

rpm -qa | grep openssh-server

Додаткова порада щодо усунення наслідків: Перегляньте налаштування LoginGraceTime

Як додатковий крок, ви можете вручну переглянути конфігурацію SSH за допомогою запуску:

nano /etc/ssh/sshd_config

Усередині файлу знайдіть рядок:

#LoginGraceTime 0

Ця директива контролює, як довго демон SSH чекає на аутентифікацію користувача. Налаштування цього параметра може допомогти зменшити поверхню атаки, мінімізуючи вікно дозволеного з’єднання для неавторизованих клієнтів.

Сервери під моніторингом AvaHost

Якщо ваші сервери знаходяться під моніторингом AvaHost, ми вже визначили уражені системи. Наприклад, сервер lshost4.alexhost.com працює на вразливій версії і потребує оновлення.

Висновок

Дана уразливість представляє реальну і теперішню небезпеку для незапатчених систем. Ми наполегливо рекомендуємо всім адміністраторам негайно перевірити та оновити свої інсталяції OpenSSH. Ризик віддаленого виконання коду неможливо переоцінити, особливо на загальнодоступній інфраструктурі.

Для отримання детальної технічної інформації зверніться до офіційної статті CVE:
🔗 CVE-2024-6409 – NIST
🔗 Nessus Report

Будьте в безпеці – оновлюйте та контролюйте свої системи.