Производитель сетевого оборудования HPE Aruba Networking выпустил предупреждение о серьёзной уязвимости в операционной системе ArubaOS-CX, применяемой в управляемых коммутаторах. Проблема затрагивает механизм защиты от атак по времени при вводе пароля, который базируется на функции OpenSSH. В результате злоумышленник может обойти политику безопасности и перехватить конфиденциальные данные, в первую очередь пароли от привилегированных учётных записей.
Уязвимость CVE-2024-39894
Уязвимость получила идентификатор CVE-2024-39894 и была обнаружена исследователями из Кембриджского университета. Она присутствует в OpenSSH версий с 9.5 по 9.7 (до выхода версии 9.8). Проблема связана с логической ошибкой в реализации функции ObscureKeystrokeTiming - механизма, предназначенного для маскировки временных интервалов между нажатиями клавиш. Из-за этой ошибки шифрование временных паттернов становится неэффективным, что позволяет атакующему проводить так называемые атаки по времени. Подобные атаки особенно опасны при вводе паролей в режиме "без эха" - например, при выполнении команд su или sudo в командной оболочке.
Неэффективность защиты означает, что злоумышленник, имеющий возможность наблюдать сетевой трафик (например, через перехват SSH-сессии), может реконструировать последовательность нажатий клавиш. Хотя сам пароль не передаётся в открытом виде, временные интервалы между вводом символов могут достаточно точно указать на то, какой символ был нажат. Это открывает путь к восстановлению пароля в обход традиционных механизмов шифрования.
Уязвимость затрагивает коммутаторы HPE Aruba Networking под управлением ArubaOS-CX в нескольких ветках: версии 10.10.x до 10.10.1160, 10.13.x до 10.13.1090, 10.15.x до 10.15.1010 и 10.16.x до 10.16.1010. Более старые релизы, вышедшие из поддержки (End of Maintenance), также считаются уязвимыми, хотя патчи для них не выпускаются. Вендор присвоил проблеме уровень опасности "высокий" (High) и оценил её базовым показателем CVSS v3.1 в 7,5 балла. Вектор атаки предполагает удалённое воздействие с высокой сложностью эксплуатации, однако при успешной реализации возможен полный компрометация конфиденциальности, целостности и доступности системы.
Примечательно, что уязвимость уже активно обсуждается в публичном пространстве. Специалисты по кибербезопасности обращают внимание на то, что функция ObscureKeystrokeTiming была включена по умолчанию в OpenSSH начиная с версии 9.5. Таким образом, все системы, использующие эти версии, до установки обновления остаются незащищёнными. В то же время в HPE Aruba Networking заявляют, что на данный момент им неизвестно о существовании готовых эксплойтов, нацеленных именно на их оборудование. Тем не менее, учитывая широкую распространённость OpenSSH, риски нельзя недооценивать.
Для администраторов сетей, использующих коммутаторы Aruba, ключевая рекомендация - немедленно установить исправления из выпущенных обновлений. Доступные версии, закрывающие уязвимость: ArubaOS-CX 10.10.1160, 10.13.1090, 10.15.1010 и 10.16.1010. Обновления можно загрузить через портал поддержки HPE Networking. Если по каким-то причинам немедленное обновление невозможно, следует принять меры по ограничению доступа к SSH-порту на затронутых устройствах. Вендор рекомендует размещать такие устройства в выделенном сегменте второго уровня (VLAN) и контролировать доступ к ним через межсетевые экраны на третьем уровне и выше. Это минимизирует вероятность того, что злоумышленник сможет перехватить трафик.
Проблема CVE-2024-39894 не является уникальной для решений HPE. Она затрагивает любые системы, использующие уязвимые версии OpenSSH. Аналогичные уведомления выпустили и другие производители, включая FreeBSD. Поэтому администраторам инфраструктуры стоит проверить не только сетевое оборудование, но и серверы, где установлен OpenSSH 9.5-9.7. Важно понимать, что атака по времени на клавиатурный ввод - это не мгновенный взлом, а требующий определённых условий и множества наблюдений. Однако в сценариях, где администратор регулярно вводит пароли через SSH, риск перехвата пароля от учётной записи root становится вполне реальным.
В заключение стоит подчеркнуть, что данная уязвимость наглядно демонстрирует, насколько хрупкой может быть даже продуманная защита. Механизмы сокрытия побочных каналов, вроде временных интервалов, требуют тщательной реализации. Логическая ошибка в коде может свести на нет весь замысел. Для специалистов по информационной безопасности этот случай - лишнее напоминание о необходимости своевременно отслеживать и устанавливать обновления не только для основных компонентов ОС, но и для встроенных библиотек, таких как OpenSSH. Тем более что исследователи уже опубликовали детали, позволяющие воспроизвести атаку, и рано или поздно может появиться автоматизированный инструмент.
Администраторам, управляющим коммутаторами Aruba, следует действовать незамедлительно. Установка патча не требует перезагрузки оборудования и занимает считанные минуты. В долгосрочной перспективе стоит предусмотреть сегментацию сети и строгие политики доступа к SSH для всех критических узлов, чтобы даже в случае выявления новых подобных уязвимостей последствия оставались минимальными.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2024-39894
- https://csaf.arubanetworking.hpe.com/2026/hpe_aruba_networking_-_hpesbnw05062.txt
