Los mantenedores de OpenSSH han publicado actualizaciones de seguridad para contener una falla de seguridad crítica que podría resultar en la ejecución remota de código no autenticado con privilegios de root en sistemas Linux basados en glibc.
A la vulnerabilidad, cuyo nombre en código es regreSSHion, se le ha asignado el identificador CVE CVE-2024-6387. Reside en Componente de servidor OpenSSHtambién conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente.
«La vulnerabilidad, que es una condición de carrera del controlador de señales en el servidor de OpenSSH (sshd), permite la ejecución remota de código (RCE) no autenticada como root en sistemas Linux basados en glibc», dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys. dicho En un comunicado publicado hoy, se lee: «Esta condición de carrera afecta a sshd en su configuración predeterminada».
La empresa de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestas a Internet, y agregó que se trata de una regresión de una falla de 18 años ya parcheada y rastreada como CVE-2006-5051y el problema se restableció en octubre de 2020 como parte de la versión 8.5p1 de OpenSSH.
«Se ha demostrado una explotación exitosa en sistemas Linux/glibc de 32 bits con [address space layout randomization]»OpenSSH dicho En un aviso: «En condiciones de laboratorio, el ataque requiere una media de 6 a 8 horas de conexión continua hasta el máximo que el servidor acepte».
La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a 4.4p1 también son vulnerables al error de condición de carrera a menos que se les apliquen parches para CVE-2006-5051 y CVE-2008-4109Vale la pena señalar que los sistemas OpenBSD no se ven afectados, ya que incluyen un mecanismo de seguridad que bloquea la falla.
Es probable que la falla de seguridad también afecte tanto a macOS como a Windows, aunque su explotabilidad en estas plataformas aún no está confirmada y requiere más análisis.
Específicamente, Qualys descubrió que si un cliente no se autentica dentro de 120 segundos (una configuración definida por LoginGraceTime), entonces el controlador SIGALRM de sshd se llama de manera asincrónica de una manera que no es señal asincrónica segura.
El efecto neto de explotar CVE-2024-6387 es un compromiso y toma de control total del sistema, lo que permite a los actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robar datos e incluso mantener un acceso persistente.
«Una vez corregido un fallo, reaparece en una versión posterior del software, normalmente debido a cambios o actualizaciones que reintroducen el problema sin darse cuenta», afirmó Jogi. «Este incidente pone de relieve el papel crucial de las pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el entorno».
Si bien la vulnerabilidad presenta importantes obstáculos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios que apliquen los parches más recientes para protegerse contra posibles amenazas. También se recomienda limitar el acceso SSH a través de controles basados en la red y aplicar la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral.