Важно: критическая уязвимость regreSSHion в OpenSSH

Специалистами ИБ-компании Qualys была обнаружена критическая уязвимость, всколыхнувшая IT-сообщество не меньше, чем Log4Shell (CVE-2021-44228), публично раскрытая в 2021 году. Подробнее ознакомиться с новой уязвимостью вы можете здесь.

Новый критический баг CVE-2024-6387, получивший собственное название regreSSHion, позволяет добиться удалённого выполнения кода с правами root без прохождения аутентификации.

Критическая проблема найдена в OpenSSH (Open Secure Shell) - в одном из самых распространённых наборе утилит, используемых для кроссплатформенного управления удаленными системами и основанном на протоколе Secure Shell. SSH, обеспечивая надежное шифрование, гарантирует конфиденциальность и безопасную передачу файлов, что делает его жизненно важным инструментом для удаленного управления сервером и безопасной передачи данных.

Важно отметить, что уязвимость устранена в новой версии 9.8p1. Таким образом, regreSSHion подвержены два периода выпуска обновлений OpenSSH:

• версии OpenSSH более ранние, чем 4.4p1;
• версии от 8.5p1 до 9.8p1.

Потенциальные зоны влияния:

• полный захват системы, установка вредоносного ПО, манипулирование данными и создание бэкдоров для постоянного доступа;
• использование взломанной системы в качестве плацдарма для обхода и эксплуатации других систем организации.
• возможность обходить критически важные механизмы безопасности, такие как брандмауэры, системы обнаружения вторжений
• доступ к конфиденциальной или служебной информации, которая может быть украдена или публично раскрыта.

План действий для предотвращения рисков:

• установить последнее обновление OpenSSH 9.8p1;
• ограничить доступ к SSH и провести сегментацию сети;
• если немедленное обновление сервера OpenSSH невозможно, следует установить значение LoginGraceTime в значение «0» в конфигурационном файле sshd, (однако, это может подвергнуть сервер атакам на отказ в обслуживании);
• доверить защиту своих данных EdgeЦентр.

EdgeЦентр принимает все необходимые меры для обеспечения максимально возможной защиты данных своих клиентов:

• Мы регулярно обновляем все наши системы до актуальных версий. Это включает в себя не только наши внутренние системы, но и любые приложения или сервисы, которые мы предлагаем нашим клиентам.
• Мы активно сканируем наши сети на предмет вторжений, чтобы определить любые необычные или подозрительные действия.
• Мы внедрили дополнительные правила фильтрации на наших брандмауэрах и балансировщиках нагрузки, чтобы блокировать или фильтровать входящий трафик, содержащий подозрительные строки.
• Мы тесно сотрудничаем с нашими партнерами и поставщиками, чтобы убедиться, что они также принимают все необходимые меры для защиты своих систем и данных.
• Мы регулярно информируем наших клиентов о подобных ситуациях и предоставляем им рекомендации по защите своих систем и данных.
• Мы немедленно реагируем на обнаружение любого инцидента, минимизируя потенциальный ущерб и оперативно восстанавливая нормальную работу систем.

 Подробнее о наших возможностях для предотвращения рисков сейчас и в будущем вы можете узнать на нашем сайте.