Vulnerability from csaf_ncscnl
Published
2024-07-01 12:21
Modified
2024-07-01 15:37
Summary
Kwetsbaarheid verholpen in OpenSSH

Notes

The Netherlands Cyber Security Center (henceforth: NCSC-NL) maintains this page to enhance access to its information and security advisories. The use of this security advisory is subject to the following terms and conditions: NCSC-NL makes every reasonable effort to ensure that the content of this page is kept up to date, and that it is accurate and complete. Nevertheless, NCSC-NL cannot entirely rule out the possibility of errors, and therefore cannot give any warranty in respect of its completeness, accuracy or continuous keeping up-to-date. The information contained in this security advisory is intended solely for the purpose of providing general information to professional users. No rights can be derived from the information provided therein. NCSC-NL and the Kingdom of the Netherlands assume no legal liability or responsibility for any damage resulting from either the use or inability of use of this security advisory. This includes damage resulting from the inaccuracy of incompleteness of the information contained in the advisory. This security advisory is subject to Dutch law. All disputes related to or arising from the use of this advisory will be submitted to the competent court in The Hague. This choice of means also applies to the court in summary proceedings.
Feiten
De ontwikkelaars van OpenSSH hebben een kwetsbaarheid verholpen in OpenSSH
Interpretaties
De kwetsbaarheid stelt een kwaadwillende in staat om zonder voorafgaande authenticatie willekeurige code uit te voeren met rechten van het sshd-proces. Het is niet uit te sluiten dat het ssh-proces met verhoogde rechten actief is, waardoor het mogelijk is dat de kwaadwillende code kan uitvoeren met rechten tot aan root. De kwetsbaarheid bevindt zich in een beperkt aantal versies. Versies van OpenSSH 8.5p1 en hoger, tot 9.7p1 zijn kwetsbaar, en versies tot aan 4.4p1, welke niet meer ondersteund worden. Versies tussen 4.4p1 en 8.5p1 zijn niet kwetsbaar. Dit komt omdat de kwetsbaarheid een regressie is van de eerder verholpen kwetsbaarheid met kenmerk CVE-2006-5051, welke in versie 4.4p1 is verholpen, maar in versie 8.5p1 herintroduceerd is. Daadwerkelijk misbruik is bijzonder ingewikkeld. Een kwaadwillende moet voor langere tijd connectiepogingen onderhouden. In een laboratoriumopstelling van de onderzoekers vereiste dat verbindingen van 6-8 uur, op 32-bit systemen. Theoretisch is het mogelijk om de kwetsbaarheid te misbruiken op 64-bit gebaseerde systemen, maar dat is nog niet aangetoond. Actief, grootschalig misbruik is hiermee dus onwaarschijnlijk. Echter, vanwege de grote verspreiding en het brede gebruik van OpenSSH is het niet onaannemelijk dat bepaalde actoren, zoals de georganiseerde misdaad, ransomware-groepen of statelijke actoren, interesse in deze kwetsbaarheid krijgen en de energie investeren om werkende malware te bouwen. Systemen met een actieve sshd-service, bereikbaar vanaf internet lopen het grootste risico. SSH is een populair protocol om op afstand systemen te beheren. Het verdient echter de afweging of de ssh-poort (standaard TCP poort 22, maar afhankelijk van de eigen installatie) actief en bereikbaar dient te zijn vanaf publieke netwerken. Er is Proof-of-Concept-code (PoC) gepubliceerd die de kwetsbaarheid kan aantonen, indien aan bovengenoemde tijdsrestricties wordt voldaan. De PoC is toegespitst op een specifieke distro, hetgeen aannemelijk maakt dat de PoC niet zondermeer generiek en grootschalig inzetbaar te maken is, zonder substantiële investering in resources. Door de lange benodigde tijd, in combinatie met het gegeven dat de code voor een specifiek doelwit geschikt gemaakt moet worden, is grootschalig misbruik niet aannemelijk. Het publiceren van de PoC toont wel aan dat de kwetsbaarheid de aandacht heeft van onderzoekers, en daarmee ook eventuele kwaadwillenden.
Oplossingen
De ontwikkelaars hebben een nieuwe versie van OpenSSH uitgebracht, OpenSSH 9.8/9.8p1. Eigenaars van systemen waarvan de SSH software in eigen beheer is kunnen de broncode downloaden en compileren. Leveranciers van Linux-distro's en systemen waarin OpenSSH in de firmware is geïmplementeerd zullen deze broncode moeten verwerken in nieuwe releases van distributie-packages of nieuwe firmware. Houd hiervoor de communicatie van uw leverancier in de gaten. Indien upgrades op korte termijn niet in te zetten zijn, kan als workaround in de sshd-configuratie de variabele 'LoginGraceTime' op 0 gezet worden. Hiermee wordt de tijd waarin een loginpoging mag 'wachten' op nul gezet, waardoor misbruik van de kwetsbaarheid niet mogelijk is. De consequentie van deze maatregel is echter wel dat het sshd-proces gevoelig gaat worden voor een Denial-of-Service. Het NCSC adviseert hier een eigen risico-afweging te maken, waarbij in de afweging meegenomen moet worden of het in eerste instantie noodzakelijk is dat de ssh-service in kwestie publiek toegankelijk moet zijn. Ook adviseert het NCSC om monitoring toe te passen op in gebruik zijnde SSH-services met een publieke toegang, en in de gaten te houden of herhaaldelijk sessies worden opgebouwd die uit hun gracetime lopen, de tijd waarin een login afgerond dient te zijn. Het NCSC houdt de ontwikkelingen in de gaten en werkt dit beveiligingsadvies bij wanneer relevante ontwikkelingen zich voordoen. Zie verder bijgevoegde referenties voor meer informatie.
Kans
medium
Schade
high
CWE-362
Concurrent Execution using Shared Resource with Improper Synchronization ('Race Condition')


To clipboard 

{
  "document": {
    "category": "csaf_security_advisory",
    "csaf_version": "2.0",
    "distribution": {
      "tlp": {
        "label": "WHITE"
      }
    },
    "lang": "nl",
    "notes": [
      {
        "category": "legal_disclaimer",
        "text": "The Netherlands Cyber Security Center (henceforth: NCSC-NL) maintains this page to enhance access to its information and security advisories. The use of this security advisory is subject to the following terms and conditions:\n\n    NCSC-NL makes every reasonable effort to ensure that the content of this page is kept up to date, and that it is accurate and complete. Nevertheless, NCSC-NL cannot entirely rule out the possibility of errors, and therefore cannot give any warranty in respect of its completeness, accuracy or continuous keeping up-to-date. The information contained in this security advisory is intended solely for the purpose of providing general information to professional users. No rights can be derived from the information provided therein.\n\n    NCSC-NL and the Kingdom of the Netherlands assume no legal liability or responsibility for any damage resulting from either the use or inability of use of this security advisory. This includes damage resulting from the inaccuracy of incompleteness of the information contained in the advisory.\n    This security advisory is subject to Dutch law. All disputes related to or arising from the use of this advisory will be submitted to the competent court in The Hague. This choice of means also applies to the court in summary proceedings."
      },
      {
        "category": "description",
        "text": "De ontwikkelaars van OpenSSH hebben een kwetsbaarheid verholpen in OpenSSH",
        "title": "Feiten"
      },
      {
        "category": "description",
        "text": "De kwetsbaarheid stelt een kwaadwillende in staat om zonder voorafgaande authenticatie willekeurige code uit te voeren met rechten van het sshd-proces. Het is niet uit te sluiten dat het ssh-proces met verhoogde rechten actief is, waardoor het mogelijk is dat de kwaadwillende code kan uitvoeren met rechten tot aan root.\n\nDe kwetsbaarheid bevindt zich in een beperkt aantal versies. Versies van OpenSSH 8.5p1 en hoger, tot 9.7p1 zijn kwetsbaar, en versies tot aan 4.4p1, welke niet meer ondersteund worden. Versies tussen 4.4p1 en 8.5p1 zijn niet kwetsbaar. Dit komt omdat de kwetsbaarheid een regressie is van de eerder verholpen kwetsbaarheid met kenmerk CVE-2006-5051, welke in versie 4.4p1 is verholpen, maar in versie 8.5p1 herintroduceerd is.\n\nDaadwerkelijk misbruik is bijzonder ingewikkeld. Een kwaadwillende moet voor langere tijd connectiepogingen onderhouden. In een laboratoriumopstelling van de onderzoekers vereiste dat verbindingen van 6-8 uur, op 32-bit systemen. Theoretisch is het mogelijk om de kwetsbaarheid te misbruiken op 64-bit gebaseerde systemen, maar dat is nog niet aangetoond.\nActief, grootschalig misbruik is hiermee dus onwaarschijnlijk.\n\nEchter, vanwege de grote verspreiding en het brede gebruik van OpenSSH is het niet onaannemelijk dat bepaalde actoren, zoals de georganiseerde misdaad, ransomware-groepen of statelijke actoren, interesse in deze kwetsbaarheid krijgen en de energie investeren om werkende malware te bouwen.\n\nSystemen met een actieve sshd-service, bereikbaar vanaf internet lopen het grootste risico. SSH is een populair protocol om op afstand systemen te beheren. Het verdient echter de afweging of de ssh-poort (standaard TCP poort 22, maar afhankelijk van de eigen installatie) actief en bereikbaar dient te zijn vanaf publieke netwerken.\n\nEr is Proof-of-Concept-code (PoC) gepubliceerd die de kwetsbaarheid kan aantonen, indien aan bovengenoemde tijdsrestricties wordt voldaan. De PoC is toegespitst op een specifieke distro, hetgeen aannemelijk maakt dat de PoC niet zondermeer generiek en grootschalig inzetbaar te maken is, zonder substanti\u00eble investering in resources.\nDoor de lange benodigde tijd, in combinatie met het gegeven dat de code voor een specifiek doelwit geschikt gemaakt moet worden, is grootschalig misbruik niet aannemelijk. Het publiceren van de PoC toont wel aan dat de kwetsbaarheid de aandacht heeft van onderzoekers, en daarmee ook eventuele kwaadwillenden.",
        "title": "Interpretaties"
      },
      {
        "category": "description",
        "text": "De ontwikkelaars hebben een nieuwe versie van OpenSSH uitgebracht, OpenSSH 9.8/9.8p1.\n\nEigenaars van systemen waarvan de SSH software in eigen beheer is kunnen de broncode downloaden en compileren. Leveranciers van Linux-distro\u0027s en systemen waarin OpenSSH in de firmware is ge\u00efmplementeerd zullen deze broncode moeten verwerken in nieuwe releases van distributie-packages of nieuwe firmware. Houd hiervoor de communicatie van uw leverancier in de gaten.\n\nIndien upgrades op korte termijn niet in te zetten zijn, kan als workaround in de sshd-configuratie de variabele \u0027LoginGraceTime\u0027 op 0 gezet worden. Hiermee wordt de tijd waarin een loginpoging mag \u0027wachten\u0027 op nul gezet, waardoor misbruik van de kwetsbaarheid niet mogelijk is. De consequentie van deze maatregel is echter wel dat het sshd-proces gevoelig gaat worden voor een Denial-of-Service. Het NCSC adviseert hier een eigen risico-afweging te maken, waarbij in de afweging meegenomen moet worden of het in eerste instantie noodzakelijk is dat de ssh-service in kwestie publiek toegankelijk moet zijn.\n\nOok adviseert het NCSC om monitoring toe te passen op in gebruik zijnde SSH-services met een publieke toegang, en in de gaten te houden of herhaaldelijk sessies worden opgebouwd die uit hun gracetime lopen, de tijd waarin een login afgerond dient te zijn.\n\nHet NCSC houdt de ontwikkelingen in de gaten en werkt dit beveiligingsadvies bij wanneer relevante ontwikkelingen zich voordoen.\n\nZie verder bijgevoegde referenties voor meer informatie.\n",
        "title": "Oplossingen"
      },
      {
        "category": "general",
        "text": "medium",
        "title": "Kans"
      },
      {
        "category": "general",
        "text": "high",
        "title": "Schade"
      },
      {
        "category": "general",
        "text": "Concurrent Execution using Shared Resource with Improper Synchronization (\u0027Race Condition\u0027)",
        "title": "CWE-362"
      }
    ],
    "publisher": {
      "category": "coordinator",
      "contact_details": "cert@ncsc.nl",
      "name": "Nationaal Cyber Security Centrum",
      "namespace": "https://www.ncsc.nl/"
    },
    "references": [
      {
        "category": "external",
        "summary": "Reference - ibm; nvd",
        "url": "https://www.openssh.com/releasenotes.html"
      },
      {
        "category": "external",
        "summary": "Reference - ncscclear",
        "url": "https://www.securityweek.com/millions-of-openssh-servers-potentially-vulnerable-to-remote-regresshion-attack/"
      }
    ],
    "title": "Kwetsbaarheid verholpen in OpenSSH",
    "tracking": {
      "current_release_date": "2024-07-01T15:37:23.231069Z",
      "id": "NCSC-2024-0272",
      "initial_release_date": "2024-07-01T12:21:57.127505Z",
      "revision_history": [
        {
          "date": "2024-07-01T12:21:57.127505Z",
          "number": "0",
          "summary": "Initiele versie"
        },
        {
          "date": "2024-07-01T12:33:44.485866Z",
          "number": "1",
          "summary": "Typo\u0027s verwijderd."
        },
        {
          "date": "2024-07-01T15:37:23.231069Z",
          "number": "2",
          "summary": "Er is Proof-of-Concept-code (PoC) verschenen die de kwetsbaarheid aantoont, gegeven voldoende tijd om de voorwaardelijke race-conditie uit te laten lopen. Handelingsperspectieven uitgebreid."
        }
      ],
      "status": "final",
      "version": "1.0.2"
    }
  },
  "product_tree": {
    "branches": [
      {
        "branches": [
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490939",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.0:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-228924",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.1:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490944",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.2:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490941",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.3:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490940",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.4:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490938",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.5:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490942",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.6:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490943",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.7:*:*:*:*:*:*:*"
              }
            }
          },
          {
            "category": "product_name",
            "name": "openssh",
            "product": {
              "name": "openssh",
              "product_id": "CSAFPID-1490937",
              "product_identification_helper": {
                "cpe": "cpe:2.3:a:openssh:openssh:9.8:*:*:*:*:*:*:*"
              }
            }
          }
        ],
        "category": "vendor",
        "name": "openssh"
      }
    ]
  },
  "vulnerabilities": [
    {
      "cve": "CVE-2024-6387",
      "cwe": {
        "id": "CWE-362",
        "name": "Concurrent Execution using Shared Resource with Improper Synchronization (\u0027Race Condition\u0027)"
      },
      "notes": [
        {
          "category": "other",
          "text": "Concurrent Execution using Shared Resource with Improper Synchronization (\u0027Race Condition\u0027)",
          "title": "CWE-362"
        },
        {
          "category": "other",
          "text": "Signal Handler Race Condition",
          "title": "CWE-364"
        }
      ],
      "product_status": {
        "known_affected": [
          "CSAFPID-228924"
        ]
      },
      "references": [
        {
          "category": "self",
          "summary": "CVE-2024-6387",
          "url": "https://api.ncsc.nl/velma/v1/vulnerabilities/2024/CVE-2024-6387.json"
        }
      ],
      "title": "CVE-2024-6387"
    },
    {
      "cve": "CVE-2006-5051",
      "references": [
        {
          "category": "self",
          "summary": "CVE-2006-5051",
          "url": "https://api.ncsc.nl/velma/v1/vulnerabilities/2006/CVE-2006-5051.json"
        }
      ],
      "title": "CVE-2006-5051"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.