Begin deze maand is bekendgemaakt dat er een kwetsbaarheidin het OpenSSH-protocol zit. SSH staat voor Secure Shell en is een manier omover een netwerk systemen te beheren. Het is een veelgebruikte methode opservers en firewalls die gebruikmaken van glibc-based Linux-systemen maar ditgeldt ook voor besturingssystemen zoals Ubuntu en macOS die gebruikmaken vanOpenSSH.
Het gaat om de kwetsbaarheid CVE-2024-6387. De kwetsbaarheidis gevonden door onderzoekers van Qualys. Ze stellen dat in theorie allesystemen die gebruik maken van dit protocol kwetsbaar zijn als ze volledigup-to-date zijn. Het gaat om het OpenSSH-protocollen vanaf versie 8.5p1 metuitzondering van versie 9.8p1. Door een aanpassing in het protocol is eeneerdere kwetsbaarheid geherintroduceerd bij de nieuwere versies.
De gevonden kwetsbaarheid maakt het mogelijk om zondertoestemming root-toegang te verkrijgen en het beheer van systemen over tenemen. Hoewel het een moeilijke kwetsbaarheid is om uit te buiten, is het eenrisico voor veel systemen.
Het komt niet vaak voor dat er een kwetsbaarheid in OpenSSHwordt gevonden. De kwetsbaarheid is wel tijd intensief om uit te buiten, watbetekend dat vooral high stake servers doelwit zouden zijn. Er zouden meer dan14 miljoen systemen mogelijk kwetsbaar zijn die via internet aangevallen kunnenworden. Dit zou gaan om 31% van alle apparaten die aan het internet hangen.
Mitigatie van het risico
1. Voer spoedig updates uit zodra deze beschikbaarkomen.
2. Beheer toegang tot het netwerk en beperk gebruikvan SSH. Door verschillende regels in te voeren kunnen ongeautoriseerdesystemen geen gebruik maken van het SSH protocol. Een goede methode is omalleen bekende systemen gebruik te laten communiceren over het SSH.
3. Netwerksegmentatie is een methode om netwerkenvan elkaar te scheiden waardoor systemen niet onderling kunnen communiceren. Ditverkleint de risico’s.
4. Implementeer een intrusion detection system, ookwel bekend als IDS. Dit systeem kan ongeautoriseerde toegang herkennen zodat erdirect gehandeld kan worden. Omdat de kwetsbaarheid in OpenSSH tijd kost om uitte buiten is het tijdig opmerken van malafide handelingen een goede manier omop tijd mitigerende maatregelen te nemen.
