CVSS 8/10

TI – CVE-2024-6387 - OpenSSH RegreSSHion Vulnerability

von SOC Austria
1 Min. Lesezeit
4. Juli 2024

Beschreibung:

RegreSSHion oder CVE-2024-6387 ist eine Remode Code Execution Schwachstelle, die es einem entfernten Angreifer ermöglicht unter Ausnutzung einer Race Condition vollen Zugriff (root) auf ein Zielsystem zu erhalten. Eine Benutzerinteraktion ist dabei nicht notwendig.

Der OpenSSH Server des Zielsystems muss die 32 bit GNU C Bibliotheken verwenden (glibc). Weiters muss der Angreifer mehrere tausend Versuche unternehmen und seinen Angriff auf das entsprechende Zielsystem genau abstimmen. Eine schnelle und zielgerichtete Ausnutzung der Schwachstelle ist somit nicht möglich.

Betroffene Systeme:

OpenSSH < 4.4p1

OpenSSH 8.5p1 - 9.8p1

 

Behobene Version:

OpenSSH 9.8p oder aktueller

 

Empfohlene Maßnahme:

Auf betroffenen Systemen kann in der Konfiguration des SSH Servers ein Parameter angepasst werden um die Ausnutzung der Schwachstelle zu blockieren (/etc/ssh/sshd_config)

LoginGraceTime 0 (Die Konfiguration macht sshd jedoch anfällig für DDoS angriffe. )

Danach muss der SSHD Dienst neu gestartet werden.

Update auf die vom Hersteller bereitgestellten gepatchten Versionen von OpenSSH 9.8p1.

SSH Zugriff über das internet auf notwendige IP Adressen einschränken.

 

Einschätzung der Bedrohungslage:

OpenSSH und glibc sind in zahlreichen Linux Distributionen und Embedded Systemen im Einsatz. Deshalb weist diese Schwachstelle auch eine sehr hohe Verbreitung auf. Durch den Umstand, das Angreife sehr genau über das Zielsystem bescheid wissen müssen und sehr viele Versuche für einen erfolgreichen Angriff sind, ist keine unmittelbare Ausnutzung der Schwachstelle absehbar.

Die uns vorliegenden Threat Intelligence Daten zeigen einen massiven Anstieg in der Verbreitung von Exploit Code, dadurch ist davon auszugehen, das Angreifer diese Exploits für langfristige, langsam durchgeführten und lange andauernde Angriffe ausnutzen können.

 

Weitere Hinweise:

https://www.qualys.com/regresshion-cve-2024-6387/

https://www.splunk.com/en_us/blog/security/cve-2024-6387-regresshion-vulnerability.html

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssh-rce-2024

 

 



 

Sie benötigen Unterstützung?

Unsere  Expert:innen im ACP Systems Operations Center (SOC) stehen Ihnen mit Rat und Tat zur Seite. Teilen Sie uns einfach über nachfolgendes Formular mit, bei welchem Problem wir Ihnen helfen können. 

Ihre Anfrage!

Nächster Blogpost
← TI – CVE-2024-5806 - Authentication Bypass in Progress MOVEit Transfer (SFTP module)
Vorheriger Blogpost
TI – CVE-2024-7591 - Progress Kemp LoadMaster Vulnerability →
TI – CVE-2024-5806 - Authentication Bypass in Progress MOVEit Transfer (SFTP module)
data protection #2
CVSS 9/10

TI – CVE-2024-5806 - Authentication Bypass in Progress MOVEit Transfer (SFTP module)

25. Juni 2024 1 Min. Lesezeit
TI – CVE-2024-7591 - Progress Kemp LoadMaster Vulnerability
data protection #2
CVSS 8/10

TI – CVE-2024-7591 - Progress Kemp LoadMaster Vulnerability

20. August 2024 1 Min. Lesezeit
TI - CVE-2023-27997 - Fortigate SSL-VPN Pre-Authentication Remote Code Execution - 9.8
data protection #2
CVSS 9/10

TI - CVE-2023-27997 - Fortigate SSL-VPN Pre-Authentication Remote Code Execution - 9.8

12. Juni 2023 2 Min. Lesezeit

Updates for innovators:
Abonnieren Sie unseren Blog.