Algunas versiones de la suite de redes seguras OpenSSH son susceptibles a una nueva vulnerabilidad que puede desencadenar la ejecución remota de código (RCE).
La vulnerabilidad, identificada como CVE-2024-6409 (puntuación CVSS: 7.0), es distinta de CVE-2024-6387 (también conocida como RegreSSHion) y se relaciona con un caso de ejecución de código en el proceso secundario privsep Debido a una condición de carrera en el manejo de señales, solo afecta a las versiones 8.7p1 y 8.8p1 que se incluyen con Red Hat Enterprise Linux 9.
Al investigador de seguridad Alexander Peslyak, alias Solar Designer, se le atribuye el descubrimiento y el informe del error, que se encontró durante una revisión de CVE-2024-6387 después de que Qualys lo revelara a principios de este mes.
«La principal diferencia con CVE-2024-6387 es que la condición de carrera y el potencial RCE se activan en el proceso secundario privsep, que se ejecuta con privilegios reducidos en comparación con el proceso del servidor principal», dijo Peslyak. dicho.
«Por lo tanto, el impacto inmediato es menor. Sin embargo, puede haber diferencias en la capacidad de explotación de estas vulnerabilidades en un escenario particular, lo que podría hacer que una de ellas sea una opción más atractiva para un atacante, y si solo una de ellas se corrige o mitiga, la otra se vuelve más relevante».
Sin embargo, vale la pena señalar que la vulnerabilidad de condición de carrera del controlador de señales es la misma que CVE-2024-6387, en la que si un cliente no se autentica dentro de los segundos LoginGraceTime (120 por defecto), entonces el controlador SIGALRM del proceso demonio OpenSSH se llama de forma asincrónica, que luego invoca varias funciones que no son seguras para señales asincrónicas.
«Este problema lo deja vulnerable a una condición de carrera del controlador de señales en la función cleanup_exit(), que introduce la misma vulnerabilidad que CVE-2024-6387 en el elemento secundario sin privilegios del servidor SSHD», según el Descripción de la vulnerabilidad.
«Como consecuencia de un ataque exitoso, en el peor de los casos, el atacante podría realizar una ejecución remota de código (RCE) dentro de un usuario sin privilegios que ejecuta el servidor sshd».
Desde entonces se ha descubierto un exploit activo para CVE-2024-6387. detectado en estado salvaje, con un actor de amenaza desconocido que ataca servidores ubicados principalmente en China.
«El vector inicial de este ataque se origina desde la dirección IP 108.174.58[.]28que, según se informó, alberga un directorio que enumera herramientas de explotación y scripts para automatizar la explotación de servidores SSH vulnerables», dijo la empresa israelí de ciberseguridad Veriti. dicho.