Ssylka

Актуальны ли угрозы безопасности OpenSSH в 2025 году и как им противостоять?

Несмотря на длительную историю и широкое использование OpenSSH, 2024 год выявил ряд серьезных уязвимостей, включая «состояния гонки» (regreSSHion, CVE-2024-6387 и аналогичные CVE-2024-6409, CVE-2024-7589), способные приводить к удаленному исполнению кода с правами суперпользователя. Эти уязвимости возникают из-за небезопасных вызовов функций внутри обработчиков сигналов и потенциально позволяют злоумышленникам нарушать целостность данных в куче памяти, что ведет к несанкционированному доступу к системе.
Актуальны ли угрозы безопасности OpenSSH в 2025 году и как им противостоять?
Изображение носит иллюстративный характер

OpenSSH использует механизмы защиты, такие как разделение привилегий (privsep), где сетевые операции выполняются непривилегированным процессом, общающимся с привилегированным монитором. Также используется песочница (seccomp), ограничивающая системные вызовы для непривилегированного процесса, уменьшая последствия эксплуатации возможных уязвимостей. Эти механизмы снижают риск получения злоумышленником root-доступа, однако привилегированный процесс монитора всё равно остается уязвимым.

Для защиты от брутфорс-атак, OpenSSH применяет лимиты на количество одновременных подключений (MaxStartups), а также реализует механизмы обнаружения и блокировки подозрительных попыток аутентификации (PerSourcePenalties, RefuseConnection). Кроме того, добавляется случайная задержка (джиттер) к тайм-ауту на аутентификацию для предотвращения «гонок», таких как regreSSHion. С версии 9.8 проводится разделение sshd на несколько бинарных файлов, что соответствует принципу минимальных привилегий, дополнительно повышая безопасность.

Эксплуатация уязвимостей «состояния гонки», вроде regreSSHion, требует точного управления аллокациями памяти. Злоумышленники используют уязвимости в процессе парсинга сертификатов ключей для создания необходимого расположения чанков памяти в куче, чтобы перехватить управление исполнением кода через подмену указателей в структурах данных при определённых условиях. Для противодействия таким атакам необходимо не только своевременно устанавливать обновления, но и использовать многоуровневую защиту, которая может затруднить эксплуатацию уязвимости.


Новое на сайте

15188Люди против аллигаторов: как поведение человека приводит к укусам 15187Виментин: новый взгляд на ключевой белок клеточного каркаса 15186Митонуклеарная несовместимость: новая разгадка мужского перекоса среди внепарных птенцов... 15185Фосфор: путешествие от межзвёздной пыли к жизни на земле 15184Тайны центральной зоны млечного пути: новая гипотеза о природе тёмной материи 15183Генетическая скудость европейского картофеля: прорыв в анализе старых сортов 15182Золотые наночастицы против слепоты: новый взгляд на лечение макулярной дегенерации 15181Как искусственный интеллект меняет молекулярный дизайн с помощью оценки неопределённости? 15180Как ATG-9 управляет восстановлением лизосом и может ли это изменить подход к лечению... 15179Почему метеорные дожди так непредсказуемы? 15178Как менялось предназначение уникального рога из мезолита в Швеции? 15177Стагнация промысла и взлёт акваферм: как меняется рыбная отрасль Малайзии 15176Что скрывает глубина: почему впервые удалось заснять детёныша колоссального кальмара? 15175Какие тайны древней воды Марса открывают кристаллы из кратера Езеро? 15174Рекордная засуха угрожает Германии: риски для урожая, лесов и экономики