พบช่องโหว่ใน OpenSSH คาด มีผู้ได้รับผลกระทบเพียบ! แนะเร่งอัปเดตด่วน

Qualys ได้เผยถึงช่องโหว่บน OpenSSH ที่อ้างว่ามีระดับความรุนแรงไม่แพ้ Log4j ที่ทำให้ผู้ไม่ประสงค์ดีสามารถลอบรันโค้ดได้ โดยมีหมายเลขอ้างอิงคือ CVE-2024-6387 ภายใต้ชื่อโค้ดย่อ ‘regreSSHion’

regreSSHion เกิดขึ้นในโปรเซส sshd จากกลไกของ race condition ซึ่งค้นร้ายที่ไม่ได้ผ่านการพิสูจน์ตัวตนสามารถเข้าไปทำการลอบรันโค้ดได้ในสิทธิ์ระดับ root บนระบบ Linux ที่มีความสามารถในไลบรารี glibc แต่ยังไม่ได้รับการยืนยันว่ากระทบ Windows และ macOS ด้วยหรือไม่

อย่างไรก็ดีจากการประเมินด้วย Shodan และ Censys ทีมงาน Qualys พบว่ามีเครื่องที่เชื่อมต่อกับอินเทอร์เน็ตและคาดว่าจะได้รับผลกระทบจาก OpenSSH ถึงราว 14 ล้าน instance เพียงแค่ข้อมูลลูกค้าจาก Qualys ก็แตะที่ 700,000 แล้ว

มหากาพย์ของช่องโหว่สืบเนื่องมาตั้งแต่ CVE-2006-5051 ที่มีการแก้ไขช่องโหว่นี้ใน OpenSSH เวอร์ชันก่อน 4.4p1 แต่แล้วก็มาเกิดปัญหาใหม่อีกครั้งที่พบตั้งแต่เวอร์ชัน 8.5p1 ยกเว้น 9.8p1 ที่บังเอิญมีการลบส่วนประกอบสำคัญบางอย่างออกไป

สำหรับผู้ใช้งาน Linux ที่ใช้งานคงต้องมีการอัปเกรตเวอร์ชันใหม่จาก OpenSSH แน่นอนในขณะที่ OpenBSD รอดพ้นเพราะมีกระบวนการป้องกันบางอย่างติดมาตั้งแต่ปี 2001 ระหว่างรอแพตช์ก็ควรจำกัดการเข้าถึงระดับเครือข่ายให้รัดกุมและจัดสรรส่วนเครือข่ายอย่างเป็นระบบป้องกันการ Lateral Movement รวมถึงคอยจับตาเฝ้าระวังพฤติกรรมที่ผิดปกติ

ปัจจุบัน Qualys ยังไม่เปิดเผยโค้ดสาธิตออกมา แต่ศึกษาเพิ่มเติมได้ที่ https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

ที่มา : https://www.securityweek.com/millions-of-openssh-servers-potentially-vulnerable-to-remote-regresshion-attack/