Важно: критическая уязвимость regreSSHion в OpenSSH
Специалистами ИБ-компании Qualys была обнаружена критическая уязвимость, всколыхнувшая IT-сообщество не меньше, чем Log4Shell (CVE-2021-44228), публично раскрытая в 2021 году. Подробнее ознакомиться с новой уязвимостью вы можете здесь.
Новый критический баг CVE-2024-6387, получивший собственное название regreSSHion, позволяет добиться удалённого выполнения кода с правами root без прохождения аутентификации.
Критическая проблема найдена в OpenSSH (Open Secure Shell) - в одном из самых распространённых наборе утилит, используемых для кроссплатформенного управления удаленными системами и основанном на протоколе Secure Shell. SSH, обеспечивая надежное шифрование, гарантирует конфиденциальность и безопасную передачу файлов, что делает его жизненно важным инструментом для удаленного управления сервером и безопасной передачи данных.
Важно отметить, что уязвимость устранена в новой версии 9.8p1. Таким образом, regreSSHion подвержены два периода выпуска обновлений OpenSSH:
- версии OpenSSH более ранние, чем 4.4p1;
- версии от 8.5p1 до 9.8p1.
Потенциальные зоны влияния:
- полный захват системы, установка вредоносного ПО, манипулирование данными и создание бэкдоров для постоянного доступа;
- использование взломанной системы в качестве плацдарма для обхода и эксплуатации других систем организации.
- возможность обходить критически важные механизмы безопасности, такие как брандмауэры, системы обнаружения вторжений
- доступ к конфиденциальной или служебной информации, которая может быть украдена или публично раскрыта.
План действий для предотвращения рисков:
- установить последнее обновление OpenSSH 9.8p1;
- ограничить доступ к SSH и провести сегментацию сети;
- если немедленное обновление сервера OpenSSH невозможно, следует установить значение LoginGraceTime в значение «0» в конфигурационном файле sshd, (однако, это может подвергнуть сервер атакам на отказ в обслуживании);
- доверить защиту своих данных EdgeЦентр.
EdgeЦентр принимает все необходимые меры для обеспечения максимально возможной защиты данных своих клиентов:
- Мы регулярно обновляем все наши системы до актуальных версий. Это включает в себя не только наши внутренние системы, но и любые приложения или сервисы, которые мы предлагаем нашим клиентам.
- Мы активно сканируем наши сети на предмет вторжений, чтобы определить любые необычные или подозрительные действия.
- Мы внедрили дополнительные правила фильтрации на наших брандмауэрах и балансировщиках нагрузки, чтобы блокировать или фильтровать входящий трафик, содержащий подозрительные строки.
- Мы тесно сотрудничаем с нашими партнерами и поставщиками, чтобы убедиться, что они также принимают все необходимые меры для защиты своих систем и данных.
- Мы регулярно информируем наших клиентов о подобных ситуациях и предоставляем им рекомендации по защите своих систем и данных.
- Мы немедленно реагируем на обнаружение любого инцидента, минимизируя потенциальный ущерб и оперативно восстанавливая нормальную работу систем.
Подробнее о наших возможностях для предотвращения рисков сейчас и в будущем вы можете узнать на нашем сайте.