В связи с растущим беспокойством по поводу недавно раскрытой уязвимости regreSSHion Tenable объясняет, что это такое, почему она так важна, что она может означать для вашей облачной среды и как Tenable Cloud Security может помочь.
Недавно обнаруженная уязвимость CVE-2024-6387 в OpenSSH, получившая название «regreSSHion», представляет собой критическую уязвимость удаленного выполнения кода (RCE). Эксплуатация этой уязвимости позволяет злоумышленникам удаленно выполнить произвольный код на целевых системах, потенциально получив полный контроль над ними. Этот недостаток был внесен в код сервера OpenSSH через плохую проверку ввода, что может быть использовано путем отправки специально созданных запросов. Успешная эксплуатация может привести к несанкционированному доступу, утечке данных и потенциальному нарушению работы сервисов.
Что такое OpenSSH и почему это важно?
OpenSSH обеспечивает безопасное удаленное управление облачными серверами и сервисами, а также традиционной инфраструктурой. Он обеспечивает шифрованные каналы связи, которые необходимы для передачи данных между администраторами и облачной инфраструктурой.
Учитывая его роль в управлении облачными ресурсами на таких платформах, как AWS, Azure и GCP, а также его популярность, обеспечение безопасности OpenSSH является обязательным. Таким образом, уязвимость в этом распространенном инструменте может привести к масштабным последствиям, например, повлиять на множество облачных развертываний и потенциально раскрыть конфиденциальную информацию, хранящуюся на этих серверах.
В облачных средах, к сожалению, слишком легко развернуть такие уязвимые машины в огромных масштабах. Для этого достаточно создать виртуальные машины, выбрав образ машины с уязвимой версией программного пакета, даже если вы вовремя поставите на нее патч. В результате вы можете получить множество машин, уязвимых с момента их создания и до момента их исправления.
Кроме того, виртуальные машины в облачных средах могут иметь и обычно имеют прикрепленные к ним служебные идентификаторы, предоставляющие им доступ к другим облачным ресурсам. Выполнение кода на этих машинах злоумышленником обычно позволяет злоупотреблять и использовать разрешения этих служебных идентификаторов для получения доступа к дополнительным ресурсам среды или бокового перемещения.
Версии OpenSSH, затронутые regreSSHion
Уязвимость затрагивает версии OpenSSH ранее 4.4p1, если не исправлены CVE-2006-5051 и CVE-2008-4109. Версии с 4.4p1 до 8.5p1(не включая ее) безопасны. Далее уязвимость вновь проявляется в версиях от 8.5p1 до 9.8p1(не включая ее). Эта проблема актуальна для множества операционных систем, включая различные дистрибутивы Unix и Linux, и даже Windows.
Уязвимость была обнаружена исследователями Qualys и ответственно раскрыта, что снижает шансы на немедленную эксплуатацию. Кроме того, для эксплуатации уязвимости обычно требуется около 10 000 попыток аутентификации, что при стандартных настройках OpenSSH займет от шести до восьми часов на один сервер.
Кроме того, сложность атаки и необходимость знания версии Linux сервера, в сочетании с защитой от грубой силы и DDoS-атак, делают массовую эксплуатацию менее вероятной.
Несмотря на это, рекомендуется как можно скорее обновить версии OpenSSH, чтобы устранить эту опасность.
Но на этом проблемы не заканчиваются.
Защита помимо исправлений
Узнав об этой уязвимости, можно извлечь несколько дополнительных уроков безопасности, которые обычно считаются передовым опытом.
Прежде всего, вам следует правильно сегментировать свои сети, в частности, ограничить доступ к порту 22 (входящий SSH) на машинах. Это может показаться тривиальным, но вы будете удивлены, как много машин встречается «в дикой природе», которые доступны практически отовсюду через порт 22, что значительно увеличивает риск быть взломанным.
Кроме того – и это относится именно к облачным средам – это еще одно напоминание о важности применения принципа наименьших привилегий для идентификационных данных в целом и служебных идентификационных данных в частности. Если уязвимость типа regreSSHion используется злоумышленником, позволяя ему выполнить удаленный код на компьютере, он получает доступ ко всем разрешениям, предоставленным служебной идентификации, которую машина использует для доступа к облачным ресурсам, таким как хранилища данных или даже другие вычислительные ресурсы. Ограничение разрешений до необходимого минимума очень важно для уменьшения последствий такого взлома.
Наконец, интересно отметить, что с момента выпуска версии 8.5p1 OpenSSH (в которой появилась уязвимость regreSSHion) в начале марта 2021 года до выпуска версии 9.8p1, который состоялся только что, в июле 2024 года, прошло более трех лет.
Это интересно не только потому, что свидетельствует о масштабах воздействия этой уязвимости. Скорее, длительный период между появлением уязвимости и выпуском патча означает, что даже если патч будет установлен сейчас, некоторые машины еще долгое время будут подвержены удаленному выполнению кода.
Поэтому необходимо провести тщательный анализ рисков, которым подвергалась ваша среда в это время. Это означает, что вы должны быть в состоянии легко исследовать не только сетевое воздействие и управление доступом уязвимых машин, но и их активность в вашей облачной среде. Готовность быстро проанализировать такое количество конфигураций и журналов в масштабе может стать проблемой для любой организации, использующей инструменты, предлагающие только базовую функциональность, либо предоставляемые поставщиками облачных услуг, либо разработанные собственными силами.
Как помогает Tenable Cloud Security
Tenable Cloud Security – это один из самых надежных, передовых и зрелых брендов в области управления уязвимостями для вашей облачной среды.
Tenable Cloud Security анализирует уровень безопасности, сетевые конфигурации, идентификационные данные и управление доступом, а также многие другие аспекты облачной среды.
Давайте посмотрим, как это работает.
Если вы ищете уязвимость, вы можете легко найти, где она находится:
Фильтрация виртуальных машин на основе подверженности regreSSHion с помощью Tenable Cloud Security
Теперь, поскольку Tenable Cloud Security не только сканирует конечные точки на наличие уязвимостей, но и проверяет их конфигурацию, вы можете легко отфильтровать результаты и найти те, которые имеют сетевую конфигурацию, открывающую им доступ к широкому спектру IP-адресов или даже всему Интернету:
Фильтрация машин, уязвимых для regreSSHion, на основе сетевого воздействия с помощью Tenable Cloud Security
Если посмотреть дальше, то можно использовать анализ управления идентификацией и доступом Tenable Cloud Security, чтобы сосредоточиться на машинах с критическим риском, вызванным их служебными идентификаторами:
Вот как Tenable Cloud Security позволяет отфильтровать виртуальные машины по степени подверженности риску regreSSHion и по степени серьезности риска, вызванного разрешениями, предоставленными используемым ими служебным идентификаторам.
Это поможет вам сосредоточить внимание на машинах с наибольшим риском того, что злоумышленники могут нанести им серьезный ущерб.
Разумеется, вы должны уделить внимание любой машине, которая может подвергнуться риску, но, как мы все знаем, расстановка приоритетов имеет решающее значение для максимально эффективного использования зачастую ограниченных ресурсов, имеющихся в вашем распоряжении для защиты облачной среды.
Далее, изучая каждую машину, вы можете легко увидеть, включает ли ее сетевое воздействие порт 22 на сетевом графике:
Сетевой график виртуальной машины в Tenable Cloud Security, показывающий открытые на ней порты и сегменты IP-адресов.
Вы также можете увидеть подробный график разрешений, предоставленных идентификаторам служб, используемых машиной, чтобы легко изучить, какие ресурсы подвергались риску потенциальной компрометации машины. Эта информация также доступна в режиме просмотра списка.
Диаграмма доступа Tenable Cloud Security, иллюстрирующая разрешения, предоставленные служебному идентификатору, используемому машиной
Наконец, в AWS Tenable Cloud Security будет обрабатывать журналы активности из вашей облачной среды, чтобы вы могли легко просмотреть, какие действия выполнялись каждым идентификатором, включая потенциально скомпрометированный идентификатор службы машины:
Журнал активности Tenable Cloud Security для экземпляра EC2, использующего роль IAM в качестве служебной активности
Этот журнал легко доступен и, что еще важнее, понятен даже тем, кто не является экспертом по облачным технологиям. Такой инструмент бесценен, особенно если вашей команде необходимо провести такой аудит в больших масштабах в случае, если у вас много незащищенных машин в течение значительного периода времени.
Заключение
Обнаружение таких уязвимостей, как regreSSHion, является хорошим напоминанием о том, какую власть и контроль специалисты по безопасности должны осуществлять над облачными средами, которые им доверено защищать.
Определить , какие последствия для вашей облачной среды может иметь столь длительное воздействие удаленного выполнения кода, может оказаться непосильной задачей, поэтому Tenable Cloud Security считает своей миссией помочь вам в ее решении.
Источник: How the regreSSHion Vulnerability Could Impact Your Cloud Environment
