What do you need ?

CVE-2024-6387: Kerentanan regreSSHion dalam OpenSSH

CVE-2024-6387, yang dikenal sebagai regreSSHion, adalah kerentanan kritis yang ditemukan dalam OpenSSH, perangkat lunak yang banyak digunakan untuk mengamankan komunikasi jaringan melalui protokol SSH (Secure Shell). Kerentanan ini memungkinkan penyerang jarak jauh yang tidak terautentikasi untuk menjalankan kode berbahaya dengan hak istimewa tinggi pada server yang terpengaruh. Artikel ini akan menjelaskan secara sederhana tentang apa itu CVE-2024-6387, bagaimana kerentanannya terjadi, siapa yang terdampak, dan bagaimana cara memitigasinya.

Apa Itu CVE-2024-6387 (regreSSHion)?

CVE-2024-6387 adalah kerentanan remote code execution (RCE) atau eksekusi kode jarak jauh yang ditemukan dalam server OpenSSH. Istilah regreSSHion berasal dari kata regression (kemunduran) karena bug ini merupakan kembalinya masalah lama yang pernah diatasi dalam CVE-2006-5051, tetapi muncul kembali pada pembaruan OpenSSH terbaru.

Kerentanan ini terjadi akibat kesalahan dalam penanganan sinyal SIGALRM, yang merupakan sinyal dalam sistem berbasis Unix untuk mengatur waktu tertentu sebelum suatu proses dihentikan. Dalam kondisi tertentu, jika ada banyak percobaan koneksi yang gagal, penyerang dapat memanfaatkan race condition (kondisi balapan) yang menyebabkan server menjadi tidak stabil, membuka celah bagi eksekusi kode berbahaya.

Versi yang Terpengaruh

Kerentanan ini berdampak pada versi OpenSSH berikut:

  • Sebelum versi 4.4p1
  • Versi 8.5p1 hingga 9.8p1

Jika Anda menggunakan salah satu versi tersebut, sangat disarankan untuk segera memperbarui ke versi terbaru untuk mencegah potensi eksploitasi.

Bagaimana Penyerang Mengeksploitasi Kerentanan Ini?

Kerentanan regreSSHion terjadi karena race condition dalam penanganan sinyal SIGALRM.

  • SIGALRM digunakan oleh OpenSSH untuk membatasi waktu autentikasi sebelum koneksi ditutup.
  • Jika ada terlalu banyak koneksi yang gagal dalam waktu bersamaan, OpenSSH dapat memasuki kondisi balapan yang menyebabkan memori menjadi korup (rusak).
  • Penyerang dapat memanfaatkan kondisi ini dengan mengirimkan ribuan permintaan koneksi dalam waktu yang sangat singkat untuk memicu bug dan mendapatkan akses ke sistem dengan hak istimewa tinggi.

Hal yang Perlu Diperhatikan:

  • Eksploitasi berhasil membutuhkan sekitar 10.000 percobaan koneksi dan bisa memakan waktu berjam-jam hingga berhasil.
  • Sistem 32-bit lebih rentan dieksploitasi dibandingkan sistem 64-bit, yang memiliki perlindungan lebih seperti ASLR (Address Space Layout Randomization).

Dampak yang Mungkin Terjadi

Jika kerentanan ini berhasil dieksploitasi, dampaknya bisa sangat serius, antara lain:

  • Pengambilalihan sistem penuh: Penyerang dapat mendapatkan akses root, memungkinkan kontrol penuh atas server.
  • Pencurian Data: Data sensitif yang tersimpan dalam server dapat diambil.
  • Serangan Lanjutan: Server yang dikompromikan dapat digunakan sebagai pijakan untuk menyerang jaringan internal lainnya.

Tindakan Pencegahan

Perbarui OpenSSH ke Versi Terbaru

  • Versi OpenSSH 9.8p1 atau yang lebih baru sudah mengatasi kerentanan ini.
  • Pembaruan dapat dilakukan melalui sistem manajemen paket seperti apt untuk Ubuntu/Debian atau yum untuk RedHat/CentOS.

Batasi Akses SSH ke Jaringan Tertentu

  • Hanya izinkan akses SSH dari alamat IP yang dipercaya dengan memodifikasi file konfigurasi /etc/ssh/sshd_config.
  • Gunakan firewall seperti iptables atau ufw untuk membatasi akses.

Gunakan Otentikasi Berbasis Kunci (Key-Based Authentication)

  • Nonaktifkan autentikasi berbasis password dengan mengatur:

PasswordAuthentication no

  • Gunakan kunci SSH yang lebih aman dan sulit diretas.

Pantau Aktivitas yang Mencurigakan

  • Periksa log SSH secara teratur (/var/log/auth.log di Ubuntu atau /var/log/secure di RedHat).
  • Gunakan alat IDS/IPS seperti Fail2Ban untuk mendeteksi dan memblokir aktivitas mencurigakan.

Langkah Sementara Jika Tidak Bisa Memperbarui

Atur LoginGraceTime menjadi 0 untuk mematikan fitur waktu tunggu autentikasi:

LoginGraceTime 0

Catatan: Ini dapat menyebabkan serangan DoS (Denial of Service) karena semua koneksi yang gagal akan langsung menutup sesi, menghabiskan sumber daya server.

Kesimpulan

CVE-2024-6387 atau regreSSHion merupakan ancaman keamanan serius yang harus segera ditangani, terutama bagi server yang menjalankan OpenSSH versi lama. Dengan memperbarui perangkat lunak, membatasi akses, dan menerapkan autentikasi berbasis kunci, risiko serangan dapat diminimalisir secara signifikan.

Referensi

https://www.trendmicro.com/en_id/research/24/g/cve-2024-6387-and-cve-2024-6409.html
https://pentest-tools.com/blog/regresshion-cve-2024-6387
https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
https://vulcan.io/blog/cve-2024-6387-how-to-fix-regresshion-vulnerability/

We are always looking for a person with good attitude and passionate

Careers

Address : EightyEight @Kasablanka Tower A, 10Floor Unit E | Jl.Kasablanka Raya Kav.88, South Jakarta, Indonesia 12870

Contact Us

  • 021 29631601
  • support@taffeta.co.id
  • sales@taffeta.co.id

Company

  • About Us
  • Who We Are
  • Vission
  • Mission

Services

  • Zimbra
  • Redhat
  • Vmware
  • Fortimail

Support

  • Knowledge Base
  • Create a Ticket