Kerentanan kritis OpenSSH ancam sistem Linux, berpotensi eksekusi kode jarak jauh sebagai root

Para pemelihara OpenSSH merilis pembaruan keamanan untuk mengatasi kerentanan serius yang dapat mengakibatkan eksekusi kode jarak jauh tanpa otentikasi dengan hak akses root pada sistem Linux berbasis glibc. Kerentanan ini, yang dinamai regreSSHion dan diberi kode CVE-2024-6387, ditemukan pada komponen server OpenSSH, sshd, yang biasa digunakan untuk menerima koneksi dari berbagai aplikasi klien.

"Kerentanan ini merupakan kondisi balapan handler sinyal di server OpenSSH (sshd), memungkinkan eksekusi kode jarak jauh (RCE) tanpa otentikasi sebagai root pada sistem Linux berbasis glibc," ungkap Bharat Jogi, direktur senior unit penelitian ancaman di Qualys, dalam pernyataan resminya. "Kondisi balapan ini mempengaruhi sshd dalam konfigurasi defaultnya."

Dilansir dari The Hacker News (2/7), Qualys mengidentifikasi sekitar 14 juta instance server OpenSSH yang berpotensi rentan dan terpapar di internet. Menurut Qualys, kerentanan ini merupakan kebangkitan dari cacat lama yang telah diperbaiki 18 tahun lalu, yang dikenal dengan kode CVE-2006-5051. Masalah tersebut kembali muncul pada Oktober 2020 dalam OpenSSH versi 8.5p1.

Dalam sebuah penasihat, OpenSSH menyebutkan bahwa eksploitasi yang berhasil telah didemonstrasikan pada sistem Linux/glibc 32-bit dengan pengacakan tata letak ruang alamat (ASLR). "Di bawah kondisi laboratorium, serangan ini memerlukan rata-rata 6-8 jam koneksi terus-menerus hingga mencapai batas maksimum yang dapat diterima oleh server," kata OpenSSH.

Kerentanan ini mempengaruhi versi OpenSSH antara 8.5p1 dan 9.7p1. Selain itu, versi sebelum 4.4p1 juga rentan kecuali telah diperbaiki untuk CVE-2006-5051 dan CVE-2008-4109. Sistem OpenBSD dilaporkan tidak terpengaruh karena adanya mekanisme keamanan tambahan yang memblokir cacat tersebut.

Kemungkinan besar, kerentanan ini juga mempengaruhi macOS dan Windows, meskipun sejauh ini belum ada konfirmasi dan masih memerlukan analisis lebih lanjut. Qualys menemukan bahwa jika klien tidak mengautentikasi dalam waktu 120 detik, pengaturan yang didefinisikan oleh LoginGraceTime, maka handler SIGALRM sshd akan dipanggil secara asinkron dalam cara yang tidak aman.

Eksploitasi CVE-2024-6387 dapat mengakibatkan kompromi sistem penuh, memungkinkan penyerang mengeksekusi kode arbitrer dengan hak istimewa tertinggi, melemahkan mekanisme keamanan, mencuri data, dan bahkan mempertahankan akses yang persisten.

"Cacat yang sudah diperbaiki dapat muncul kembali dalam rilis perangkat lunak berikutnya akibat perubahan atau pembaruan yang tidak sengaja memperkenalkan kembali masalah tersebut," tambah Jogi. "Insiden ini menyoroti pentingnya pengujian regresi menyeluruh untuk mencegah kebangkitan kerentanan yang sudah diketahui."

Para pengguna disarankan segera menerapkan patch terbaru untuk melindungi sistem dari potensi ancaman. Selain itu, disarankan untuk membatasi akses SSH melalui kontrol berbasis jaringan dan menerapkan segmentasi jaringan guna mencegah akses yang tidak sah dan pergerakan lateral dalam jaringan.