OpenSSH, считающийся одной из «самых безопасных программных реализаций в мире», имеет «явный пробел», который может позволить злоумышленникам полностью захватить контроль над системами Linux, на которых он установлен, предупреждают эксперты.
отчет По данным Qualys, уязвимость существует в OpenSSH уже четыре года и в настоящее время затрагивает примерно 14 миллионов конечных точек по всему миру.
Qualys назвал свою находку «regreSSHion» и сообщил, что теперь она отслеживается как CVE-2024-6387. Уязвимость получила название «regreSSHion», поскольку она представляет собой регрессию ранее исправленной уязвимости CVE-2006-5051, которая была исправлена в 2006 году. Регрессия — это ошибка, которая когда-то была исправлена, но позже появилась вновь. Регрессия
«В случае использования этой уязвимости злоумышленник может выполнить произвольный код с повышенными привилегиями, что потенциально может привести к полному захвату системы, установке вредоносного ПО, созданию бэкдоров и многому другому», — говорят исследователи.
В сообщении в блоге, описывающем результаты, Qualys отметил, что анонимные данные CSAM 3.0 с данными управления поверхностью внешних атак показали, что около 700 000 удаленных экземпляров с доступом в Интернет были уязвимы.
«Это составляет 31% всех подключенных к Интернету экземпляров, использующих OpenSSH, в нашей глобальной клиентской базе», — добавляют исследователи. «Интересно, что более 0,14% уязвимых экземпляров с выходом в Интернет, на которых работает служба OpenSSH, используют версию OpenSSH с истекшим сроком службы/поддержкой».
Согласно предупреждению исследователей, уязвимость столь же серьезна, как и проблема Apache Log4J, обнаруженная в 2021 году. Эта проблема, отслеживаемая как CVE-2021-44228 и получившая название Log4Shell, была обнаружена в библиотеке журналирования Log4J, которая широко используется в приложениях Java. . Это позволило злоумышленникам удаленно выполнить вредоносный код и фактически захватить всю конечную точку.
Подпишитесь на информационный бюллетень Ny Breaking и получайте ключевые новости, мнения, характеристики и советы, необходимые вашему бизнесу для успеха!
Сообщалось, что это затронуло большое количество организаций в разных отраслях, включая такие мощные компании, как Apple, Amazon, Tesla и другие. Хотя точное количество пострадавших компаний определить невозможно, по общему мнению, Log4Shell затронул сотни миллионов приложений и устройств по всему миру. Другие работы из Нью-Йорка Брейкинга
Статья добавлена ботом, с использованием машинного перевода : https://nybreaking.com/category/tech/
