Критичний стан гонки у OpenSSH (CVE-2024-6409): Терміново випущено виправлення на системах AlmaLinux 9 та CentOS 9

Виявлено серйозну уразливість в обробці сигналів сервером OpenSSH (sshd), що впливає на системи під керуванням AlmaLinux 9 та CentOS 9. Якщо віддалений користувач ініціює з’єднання, але не проходить аутентифікацію протягом певного таймауту, асинхронно спрацьовує сигнал SIGALRM. Критично важливо, що обробник сигналу викликає такі функції, як syslog(), які небезпечно використовувати в даному контексті. В результаті, успішний експлойт може дозволити віддалене виконання коду (RCE) непривілейованим зловмисником, що є значною загрозою для безпеки сервера.
Ця проблема зачіпає хости з OpenSSH версії 8.7p1-43.el9, в тому числі ті, що використовують CentOS Linux 9. Посилання на уразливість, що ідентифікована як CVE-2024-6409, міститься в журналі змін збірки OpenSSH. Важливо відзначити, що такі сканери безпеки, як Nessus, можуть не перевіряти вразливість безпосередньо, а надавати звіти на основі виявлених версій програмного забезпечення.
Що під загрозою
OpenSSH – це один з найпоширеніших сервісів на серверах Linux для безпечного віддаленого адміністрування. Уразливість в його основному демоні (sshd) ставить під загрозу всі системи віддаленого доступу та автоматизації.
На прикладі ураженої системи показана версія встановленого вразливого пакету:
[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64
Рекомендовані дії
Якщо ви використовуєте AlmaLinux 9, CentOS 9 або будь-яку іншу похідну систему з OpenSSH версії 8.7p1-43.el9, вам слід негайно оновитися до безпечної версії – openssh-8.7p1-45.el9 або новішої.
Процедура оновлення
Щоб перевірити встановлену версію OpenSSH:
rpm -qa | grep openssh-server
Щоб застосувати оновлення:
sudo dnf update openssh
Після оновлення перезапустіть службу SSH:
sudo systemctl restart sshd
Нарешті, підтвердіть нову версію:
rpm -qa | grep openssh-server
Додаткова порада щодо усунення наслідків: Перегляньте налаштування LoginGraceTime
Як додатковий крок, ви можете вручну переглянути конфігурацію SSH за допомогою запуску:
nano /etc/ssh/sshd_config
Усередині файлу знайдіть рядок:
#LoginGraceTime 0
Ця директива контролює, як довго демон SSH чекає на аутентифікацію користувача. Налаштування цього параметра може допомогти зменшити поверхню атаки, мінімізуючи вікно дозволеного з’єднання для неавторизованих клієнтів.
Сервери під моніторингом AvaHost
Якщо ваші сервери знаходяться під моніторингом AvaHost, ми вже визначили уражені системи. Наприклад, сервер lshost4.alexhost.com працює на вразливій версії і потребує оновлення.
Висновок
Дана уразливість представляє реальну і теперішню небезпеку для незапатчених систем. Ми наполегливо рекомендуємо всім адміністраторам негайно перевірити та оновити свої інсталяції OpenSSH. Ризик віддаленого виконання коду неможливо переоцінити, особливо на загальнодоступній інфраструктурі.
Для отримання детальної технічної інформації зверніться до офіційної статті CVE:
🔗 CVE-2024-6409 – NIST
🔗 Nessus Report
Будьте в безпеці – оновлюйте та контролюйте свої системи.