
Met de groeiende bezorgdheid over de recent onthulde regreSSHion-kwetsbaarheid, leggen we hier uit wat het is, waarom het zo belangrijk is, wat het kan betekenen voor uw cloudomgeving en hoe Tenable Cloud Security kan helpen.
De nieuw ontdekte CVE-2024-6387 kwetsbaarheid in OpenSSH, genaamd “regreSSHion”, is een kritieke fout voor remote code execution (RCE) die het gevolg is van een race condition. Door deze kwetsbaarheid kunnen aanvallers op afstand willekeurige code uitvoeren op getroffen systemen, waardoor ze mogelijk volledige controle over deze systemen kunnen krijgen. Deze fout is in de OpenSSH-servercode geïntroduceerd door slechte inputvalidatie, die kan worden misbruikt door speciaal vervaardigde verzoeken te sturen. Succesvolle exploitatie kan leiden tot ongeautoriseerde toegang, datalekken en mogelijke verstoring van diensten.
Wat is OpenSSH en waarom is dit belangrijk?
OpenSSH maakt veilige externe beheer van cloudgebaseerde servers en diensten, evenals traditionele infrastructuur, mogelijk. Het zorgt voor versleutelde communicatiekanalen, die essentieel zijn voor de gegevensoverdracht tussen beheerders en cloudinfrastructuur.
Gezien de rol van OpenSSH bij het beheren van cloudbronnen op platforms zoals AWS, Azure en GCP, en gezien de populariteit ervan, is het noodzakelijk om de beveiliging van OpenSSH te waarborgen. Een kwetsbaarheid in deze veelgebruikte tool kan wijdverspreide gevolgen hebben, zoals het beïnvloeden van meerdere clouduitvoeringen en mogelijk het blootstellen van gevoelige informatie die op die servers is opgeslagen.
In cloudomgevingen is het helaas te gemakkelijk om dergelijke kwetsbare machines op grote schaal te implementeren. Alles wat nodig is, is het provisioneren van uw virtuele machines door een machine-afbeelding te selecteren met een kwetsbare versie van het softwarepakket, zelfs als u deze op tijd patcht. Hierdoor kunnen veel machines kwetsbaar zijn vanaf het moment van hun oprichting tot het moment dat ze werden gepatcht.
Daarnaast kunnen virtuele machines in cloudomgevingen meestal service-identiteiten aan zich gekoppeld hebben die hen toegang geven tot andere cloudbronnen. Code uitvoeren op deze machines door een kwaadwillende acteur stelt hen doorgaans in staat de rechten van deze service-identiteiten te misbruiken en te benutten om toegang te krijgen tot aanvullende bronnen in de omgeving of zich lateraal te verplaatsen.
OpenSSH-versies die worden beïnvloed door regreSSHion
De kwetsbaarheid treft OpenSSH-versies ouder dan 4.4p1, tenzij ze gepatcht zijn voor CVE-2006-5051 en CVE-2008-4109. Versies van 4.4p1 tot en met, maar exclusief, 8.5p1 zijn veilig. Echter, de kwetsbaarheid duikt opnieuw op in versies van 8.5p1 tot en met, maar exclusief, 9.8p1. Dit probleem is relevant voor meerdere besturingssystemen, inclusief verschillende Unix- en Linux-distributies en zelfs Windows.
De kwetsbaarheid werd ontdekt door onderzoekers van Qualys en op verantwoorde wijze bekendgemaakt, wat de kans op onmiddellijke exploitatie verkleint. Bovendien vereist het uitbuiten van de kwetsbaarheid doorgaans ongeveer 10.000 authenticatiepogingen, wat met standaard OpenSSH-instellingen zes tot acht uur per server zou duren. De complexiteit van de aanval en de noodzaak om de Linux-versie van de server te kennen, gecombineerd met bescherming tegen brute force- en DDoS-aanvallen, maken massale exploitatie minder waarschijnlijk.
Desondanks is onze aanbeveling om uw OpenSSH-versies zo snel mogelijk bij te werken om deze kwetsbaarheid te verhelpen.
Bescherming voorbij patching
Er zijn enkele extra beveiligingslessen – die over het algemeen als beste praktijken worden beschouwd – die kunnen worden benadrukt door te leren over deze kwetsbaarheid.
Allereerst moet u een goede segmentatie van uw netwerken toepassen, specifiek door de toegang tot poort 22 (ingress SSH) op machines te beperken. Dit klinkt misschien triviaal, maar u zou verbaasd zijn hoeveel machines we “in het wild” tegenkomen die vanaf vrijwel overal toegankelijk zijn op poort 22, wat het risico op compromittering aanzienlijk verhoogt.
Daarnaast – en dit geldt specifiek voor cloudomgevingen – herinnert dit ons opnieuw aan het belang van het toepassen van het principe van minimale privileges voor identiteiten in het algemeen en service-identiteiten in het bijzonder. Als een kwetsbaarheid zoals regreSSHion door een aanvaller wordt uitgebuit, waardoor deze op afstand code kan uitvoeren, krijgt de aanvaller effectief toegang tot alle machtigingen die aan de service-identiteit zijn verleend die de machine gebruikt om toegang te krijgen tot cloudbronnen, zoals gegevensopslag of zelfs andere computerbronnen. Het beperken van machtigingen tot het absolute minimum dat nodig is, is essentieel om de schade van een dergelijke inbreuk te beperken.
Lees verder om te ontdekken hoe Tenable Cloud Security kan helpen en waar Tenable in actie komt.
https://www.tenable.com/blog/how-the-regresshion-vulnerability-could-impact-your-cloud-environment
Over Tenable:
Tenable helpt organisaties bij het identificeren en beheren van cyberbeveiligingsrisico’s. Het bedrijf biedt oplossingen voor het scannen van kwetsbaarheden, continue bewaking van netwerken en het naleven van veiligheidsvoorschriften. Tenable’s tools geven inzicht in potentiële bedreigingen en helpen bij het prioriteren van beveiligingsmaatregelen. Met geavanceerde technologieën zoals AI en machine learning verbetert Tenable de beveiliging en beschermt het gevoelige gegevens tegen cyberaanvallen.
Wilt u meer informatie over Tenable Cloud Security? Neem dan contact op met het sales team van Exclusive Networks op +31 (0)499 462121 of mail naar info@exclusive-networks.nl