De opensourcewereld staat in rep en roer door een recent ontdekte kwetsbaarheid in OpenSSH. Miljoenen serverinstances lopen mogelijk gevaar.
Cybersecuritybedrijf Qualys ontdekte de kwetsbaarheid CVE-2024-6387 in OpenSSH en noemt die zonder aarzelen ‘extreem gevaarlijk’. OpenSSH is een op het SSH-protocol (Secure Shell) gebaseerd opensource serverprogramma om communicatie tussen servers op een netwerk te versleutelen. Het serverprogramma is standaard op veel Unix-achtige systemen en net daarom is de kwetsbaarheid iets om bezorgd over te zijn.
De kwetsbaarheid lokt een fout uit waardoor het moment waarop een signaal verwerkt wordt gelijk kan vallen met een moment waarop OpenSSH aan het processen is. Aanvallers kunnen specifiek ontworpen payloads naar het systeem verzenden om dat moment te forceren. De uitbuiting is zeer complex, maar als het lukt, kan de aanvaller de server overnemen en schadelijke code uitvoeren.
Spook uit het verleden
Opmerkelijk genoeg is CVE-2024-6387 de erfenis van een kwetsbaarheid die in 2006 ontdekt werd in OpenSSH. Deze kwetsbaarheid is ontstaan door regressie en krijgt van Qualys de creatieve bijnaam regreSSHion.
Regressie betekent dat een fout plots opnieuw kan opduiken in een softwarerelease, nadat deze verholpen was. Meestal is dit een gevolg van wijzigingen of updates die het probleem onbedoeld opnieuw introduceren, zoals hier met OpenSSH ook gebeurd is.
Nu patchen
Wie destijds een patch uitrolde voor de kwetsbaarheid uit 2006 (en aan andere uit 2008), zit safe voor alle versies tussen 4.4p1 en 8.5p1 of ouder. De kwetsbaarheid duikt wel op in versies 8.5p1 tot 9.8p1 door het verwijderen van een kritieke functiecomponent. 32-bit glibc-Linux-systemen zijn uitermate kwetsbaar, maar ook 64-bit systemen zijn niet immuun.
lees ook
Linux-bloedbad maar op het nippertje vermeden
Patches zijn inmiddels beschikbaar en zoals altijd luidt het devies die zo snel mogelijk door te voeren. Versie 9.8 bevat een oplossing voor de gevaarlijke bug. OpenSSH-gebruikers blijken er een goede updatehygiëne op na te houden: slechts 0,14 procent van installaties draait op een niet meer ondersteunde versie van het programma.
Maar ook met beschikbare patches houden security-experten hun hart vast voor een slagveld. De wijdverspreide distributie over Linux-servers maakt dat deze kwetsbaarheid niet op een dag zal gedicht zijn. Volgens schattingen van Qualys zijn er ongeveer 700.000 potentieel kwetsbare OpenSSH-installaties en kan de kwetsbaarheid tot veertien miljoen instances bereiken.