На прошлой неделе стало известно о критической уязвимости (CVE-2018-10933) в библиотеке libssh, популярном решении для поддержки Secure Shell (SSH) аутентификации. Фактически баг позволяет атакующему легко обойти аутентификацию и получить доступ к уязвимому серверу с включенной SSH-аутентификацией, не вводя пароль. Проблеме подвержены версии libssh вплоть до 0.7.6 и 0.8.4.
Эксплуатация проблемы крайне проста: нужно отправить SHH-серверу сообщение SSH2_MSG_USERAUTH_SUCCESS вместо ожидаемого им SSH2_MSG_USERAUTH_REQUEST. Из-за бага сервер, получивший такое сообщение, буквально поверит атакующему, что тот залогинен и верификация не нужна. Сервер сочтет, что аутентификация прошла успешно, в итоге предоставив доступ.
Теперь бюллетени безопасности, посвященные проблеме, выпустили и многие крупные участники индустрии:
- разработчики Arch Linux настоятельно рекомендуют пользователям обновиться до libssh 0.8.4-1, использовав команду
pacman -Syu "libssh>=0.8.4-1"
; - специалисты Cisco сообщили, что проводят расследование ситуации и выясняют, какие продукты компании могут быть под угрозой;
- разработчики Debian пишут, что выпустили обновления для libssh, устраняющие уязвимость;
- представители Dell на официальном форуме сообщают, что продукты компании используют libssh2, и баг не представляет для них проблемы;
- эксперты F5 Networks предупредили пользователей, что их решения BIG-IP (AFM) версий 12.1.0 - 12.1.3,0.0 - 13.1.1 и 14.0.0 уязвимы перед багом через компонент SSH Proxy. Патчей пока нет;
- Red Hat сообщает, что проблема затронула лишь libssh, поставлявшуюся с Red Hat Enterprise Linux 7 Extras;
- создатели SUSE отчитались о том, что уязвимость опасна для SUSE Linux Enterprise Desktop 12 SP3, SUSE Linux Enterprise Module for Basesystem 15, SUSE Linux Enterprise Software Development Kit 12 SP3, SUSE Linux Enterprise Workstation Extension 12 SP3, openSUSE Leap 15.0, а также openSUSE Leap 42.3;
- разработчики Ubuntu предупреждают, что CVE-2018-10933 угрожает Ubuntu 18.04 LTS, Ubuntu 16.04 LTS и Ubuntu 14.04 LTS. В бюллетене безопасности приведены ссылки на доступные патчи.
Разумеется, учитывая серьезность проблемы и легкость ее эксплуатации, уже появились сканеры для обнаружения бага, а также многочисленные эксплоиты. К примеру, разработчики фирмы Leap Security опубликовали python-скрипт, который может использоваться для поиска уязвимых устройств. Proof-of-concept эксплоиты для уязвимости и вовсе множатся, как грибы после дождя (1, 2, 3, 4).
По данным Leap Security, в сети по-прежнему можно обнаружить примерно 1800-1900 серверов с уязвимыми версиями библиотеки libssh, и специалисты призывают администраторов установить патчи как можно скорее.