Krytyczna luka bezpieczeństwa. Zagrożonych 14 mln urządzeń, wydano pilne zalecenia

Krytyczna luka bezpieczeństwa. Zagrożonych 14 mln urządzeń, wydano pilne zalecenia

Analitycy firmy Qualys poinformowali o odnalezieniu krytycznej luki bezpieczeństwa, która naraża na ogromne niebezpieczeństwo nawet 14 mln urządzeń. Możliwe jest zdalne wykonanie kodu z najwyższymi uprawnieniami, co wymaga podjęcia przez administratorów natychmiastowych kroków.

Luka zyskała przydomek regreSSHion i występuje w systemach linuksowych wykorzystujących bibliotekę glibc z  włączoną usługą OpenSSH. Dla przeciętnego internauty odnaleziona luka, choć krytyczna, nie stanowi bezpośredniego zagrożenia, co nie oznacza, że nie stanowi go wcale. Wręcz przeciwnie.

Udany atak na serwery z glibc i niezałatanym OpenSSH może prowadzić także do ataku na końcowych użytkowników. Zagrożeni mogą być właściciele kont w serwisach internetowych, może dojść do naruszenia łańcucha dostaw, co poskutkuje np. publikacją aktualizacji aplikacji zawierających złośliwy kod, zainfekowane urządzenia mogą stać się częścią botnetu. Scenariusze groźnych ataków można dowolnie mnożyć, bo napastnicy mogą wykonać na podatnym serwerze dowolny kod. Sprawa jest poważna.

OpenSSH to powszechnie wykorzystywana usługa pozwalająca na zdalny dostęp, przez co odnalezienie w niej podatności automatycznie naraża na szwank bezpieczeństwo ogromnej liczby urządzeń. Zagrożenie jest tym większe, że po udanym ataku haker może bez podawania danych uwierzytelniania uzyskać dostęp do najwyższych uprawnień i zdalnie wykonać dowolne polecenie na zaatakowanym komputerze, przejąć nad nim całkowitą kontrolę.

Co ciekawe, luka była znana już w 2006 roku! Niemniej w toku rozwoju OpenSSH w październiku 2020 roku zdecydowano się na zmiany, które usunęły łatkę. Nie można wykluczyć, że był to świadomy sabotaż. Do ataku wychodzi poprzez wykorzystanie zjawiska hazardu w obsłudze sygnałów, czyli błędnego stanu na wyjściach - analitykom Qualys udało się opracować sposób wykorzystania podatności i należy się liczyć z tym, że nie byli oni jedyni.

Jak wspomniano, zagrożenie jest bardzo poważne nie tylko na krytyczną klasyfikację podatności, ale też na skalę jej występowania. Analitycy Qualys szacują liczbę podatnych urządzeń na 14 milionów:

Zidentyfikowaliśmy ponad 14 milionów potencjalnie podatnych na ataki Saveinstancji serwerów OpenSSH połączonych z internetem. Zanonimizowane dane (...) ujawniają, że około 700 tys. zewnętrznych instancji połączonych z internetem jest podatnych na ataki. Stanowi to 31% wszystkich instancji internetowych z OpenSSH w naszej globalnej bazie klientów.

Wszyscy administratorzy powinni jak najszybciej zaktualizować oprogramowanie, zwłaszcza OpenSSH. Bezpieczna jest wersja 9.8p1 i nowsze.

Luka zyskała przydomek regreSSHion i występuje w systemach linuksowych wykorzystujących bibliotekę glibc z  włączoną usługą OpenSSH. Dla przeciętnego internauty odnaleziona luka, choć krytyczna, nie stanowi bezpośredniego zagrożenia, co nie oznacza, że nie stanowi go wcale. Wręcz przeciwnie.

Udany atak na serwery z glibc i niezałatanym OpenSSH może prowadzić także do ataku na końcowych użytkowników. Zagrożeni mogą być właściciele kont w serwisach internetowych, może dojść do naruszenia łańcucha dostaw, co poskutkuje np. publikacją aktualizacji aplikacji zawierających złośliwy kod, zainfekowane urządzenia mogą stać się częścią botnetu. Scenariusze groźnych ataków można dowolnie mnożyć, bo napastnicy mogą wykonać na podatnym serwerze dowolny kod. Sprawa jest poważna.