Potential Remote Code Execution Risk – OfficialSarkar
ओपनएसएसएच सुरक्षित नेटवर्किंग सूट के चुनिंदा संस्करण एक नई भेद्यता के प्रति संवेदनशील हैं, जो रिमोट कोड निष्पादन (आरसीई) को ट्रिगर कर सकता है।
CVE-2024-6409 (CVSS स्कोर: 7.0) के रूप में ट्रैक की गई भेद्यता, CVE-2024-6387 (उर्फ RegreSSHion) से अलग है और कोड निष्पादन के एक मामले से संबंधित है privsep चाइल्ड प्रक्रिया सिग्नल हैंडलिंग में रेस कंडीशन के कारण। यह केवल Red Hat Enterprise Linux 9 के साथ भेजे गए संस्करण 8.7p1 और 8.8p1 को प्रभावित करता है।
सुरक्षा शोधकर्ता अलेक्जेंडर पेसल्याक, जो सोलर डिज़ाइनर के नाम से जाने जाते हैं, को इस बग की खोज करने और इसकी सूचना देने का श्रेय दिया गया है, जो CVE-2024-6387 की समीक्षा के दौरान पाया गया था, जिसे इस महीने की शुरुआत में क्वालिस द्वारा उजागर किया गया था।
“CVE-2024-6387 से मुख्य अंतर यह है कि रेस कंडीशन और RCE क्षमता को प्रिविसेप चाइल्ड प्रोसेस में ट्रिगर किया जाता है, जो पैरेंट सर्वर प्रोसेस की तुलना में कम विशेषाधिकारों के साथ चलता है,” पेसल्याक कहा.
“इसलिए तत्काल प्रभाव कम है। हालांकि, किसी विशेष परिदृश्य में इन कमजोरियों के दोहन में अंतर हो सकता है, जो हमलावर के लिए इनमें से किसी एक को अधिक आकर्षक विकल्प बना सकता है, और यदि इनमें से केवल एक को ठीक या कम किया जाता है, तो दूसरा अधिक प्रासंगिक हो जाता है।”
हालांकि, यह ध्यान देने योग्य है कि सिग्नल हैंडलर रेस कंडीशन भेद्यता CVE-2024-6387 के समान ही है, जिसमें यदि कोई क्लाइंट LoginGraceTime सेकंड (डिफ़ॉल्ट रूप से 120) के भीतर प्रमाणीकरण नहीं करता है, तो OpenSSH डेमॉन प्रक्रिया के SIGALRM हैंडलर को एसिंक्रोनस रूप से कॉल किया जाता है, जो तब विभिन्न फ़ंक्शनों को आमंत्रित करता है जो एसिंक्रोनस-सिग्नल-सुरक्षित नहीं हैं।
रिपोर्ट के अनुसार, “यह समस्या इसे cleanup_exit() फ़ंक्शन पर सिग्नल हैंडलर रेस कंडीशन के प्रति संवेदनशील बना देती है, जो SSHD सर्वर के अनप्रिविलेज्ड चाइल्ड में CVE-2024-6387 जैसी ही भेद्यता उत्पन्न करती है।” भेद्यता विवरण.
“एक सफल हमले के परिणामस्वरूप, सबसे खराब स्थिति में, हमलावर sshd सर्वर चलाने वाले अनधिकृत उपयोगकर्ता के भीतर रिमोट कोड निष्पादन (RCE) करने में सक्षम हो सकता है।”
CVE-2024-6387 के लिए एक सक्रिय शोषण तब से किया गया है का पता चला एक अज्ञात खतरा अभिनेता मुख्य रूप से चीन में स्थित सर्वरों को लक्ष्य बना रहा है।
“इस हमले का प्रारंभिक वेक्टर आईपी पते से उत्पन्न होता है 108.174.58[.]28इज़रायली साइबर सुरक्षा कंपनी वेरिटी ने कहा, “यह एक ऐसी निर्देशिका है जिसमें कमजोर एसएसएच सर्वरों के शोषण को स्वचालित करने के लिए शोषण उपकरण और स्क्रिप्ट सूचीबद्ध हैं।” कहा.
Source: TheHackerNews
