OpenSSH 보안 네트워킹 제품군의 일부 버전은 원격 코드 실행(RCE)을 유발할 수 있는 새로운 취약점에 취약합니다.
CVE-2024-6409(CVSS 점수: 7.0)로 추적된 이 취약점은 CVE-2024-6387(일명 RegreSSHion)과 다르며 신호 처리의 경쟁 조건으로 인해 privsep 자식 프로세스에서 코드가 실행되는 경우와 관련이 있습니다. Red Hat Enterprise Linux 9와 함께 제공되는 버전 8.7p1 및 8.8p1에만 영향을 미칩니다.
별명이 Solar Designer인 보안 연구원 Alexander Peslyak이 이 버그를 발견하고 보고한 것으로 알려졌습니다. 이 버그는 Qualys가 이번 달 초에 공개한 CVE-2024-6387을 검토하는 동안 발견되었습니다.
“CVE-2024-6387과의 주요 차이점은 경쟁 조건과 RCE 가능성이 부모 서버 프로세스에 비해 권한이 낮은 상태에서 실행되는 privsep 자식 프로세스에서 발생한다는 것입니다.”라고 Peslyak은 말했습니다.
“따라서 즉각적인 영향은 낮습니다. 그러나 특정 시나리오에서 이러한 취약성의 악용 가능성에 차이가 있을 수 있으며, 이는 공격자에게 두 가지 중 하나를 더 매력적인 선택으로 만들 수 있으며, 두 가지 중 하나만 수정되거나 완화되면 다른 하나가 더 중요해집니다.”
그러나 신호 처리기 경쟁 조건 취약성은 CVE-2024-6387과 동일하다는 점에 유의하는 것이 좋습니다. 즉, 클라이언트가 LoginGraceTime초(기본값 120초) 내에 인증하지 않으면 OpenSSH 데몬 프로세스의 SIGALRM 처리기가 비동기적으로 호출되고, 이로 인해 비동기 신호 안전이 아닌 다양한 함수가 호출됩니다.
취약점 설명에 따르면 “이 문제로 인해 cleanup_exit() 함수의 신호 처리기 경쟁 조건에 취약해지며, 이로 인해 SSHD 서버의 권한이 없는 자식에서 CVE-2024-6387과 동일한 취약점이 발생합니다.”
“성공적인 공격의 결과로, 최악의 경우 공격자는 sshd 서버를 실행하는 권한이 없는 사용자 내에서 원격 코드 실행(RCE)을 수행할 수 있습니다.”
CVE-2024-6387에 대한 활성적인 악용이 현재 실제로 감지되었으며, 알려지지 않은 위협 행위자가 주로 중국에 있는 서버를 표적으로 삼았습니다.
이스라엘 사이버 보안 회사인 Veriti는 “이 공격의 초기 벡터는 취약한 SSH 서버의 악용을 자동화하기 위한 악용 도구와 스크립트를 나열한 디렉토리를 호스팅하는 것으로 보고된 IP 주소 108.174.58(.)28에서 시작되었습니다.”라고 밝혔습니다.
