Certaines versions de la suite de réseau sécurisé OpenSSH sont sensibles à une nouvelle vulnérabilité qui peut déclencher l’exécution de code à distance (RCE).
La vulnérabilité, identifiée comme CVE-2024-6409 (score CVSS : 7,0), est distincte de CVE-2024-6387 (alias RegreSSHion) et concerne un cas d’exécution de code dans le processus enfant privsep en raison d’une condition de concurrence dans la gestion du signal. Cela n’affecte que les versions 8.7p1 et 8.8p1 livrées avec Red Hat Enterprise Linux 9.
Le chercheur en sécurité Alexander Peslyak, connu sous le pseudonyme de Solar Designer, a été crédité de la découverte et du signalement du bug, qui a été découvert lors d’un examen de CVE-2024-6387 après que ce dernier ait été divulgué par Qualys plus tôt ce mois-ci.
« La principale différence avec CVE-2024-6387 est que la condition de concurrence et le potentiel RCE sont déclenchés dans le processus enfant privsep, qui s’exécute avec des privilèges réduits par rapport au processus serveur parent », explique Peslyak. dit.
« L’impact immédiat est donc moindre. Cependant, il peut y avoir des différences dans l’exploitabilité de ces vulnérabilités dans un scénario particulier, ce qui pourrait faire de l’une ou l’autre de ces vulnérabilités un choix plus attrayant pour un attaquant, et si une seule de ces vulnérabilités est corrigée ou atténuée, l’autre devient plus pertinente. »
Cependant, il convient de noter que la vulnérabilité de la condition de concurrence du gestionnaire de signaux est la même que celle de CVE-2024-6387, dans laquelle si un client ne s’authentifie pas dans les secondes LoginGraceTime (120 par défaut), le gestionnaire SIGALRM du processus démon OpenSSH est appelé de manière asynchrone, ce qui invoque ensuite diverses fonctions qui ne sont pas sûres pour les signaux asynchrones.
« Ce problème le rend vulnérable à une condition de concurrence du gestionnaire de signaux sur la fonction cleanup_exit(), qui introduit la même vulnérabilité que CVE-2024-6387 dans l’enfant non privilégié du serveur SSHD », selon le description de la vulnérabilité.
« En conséquence d’une attaque réussie, dans le pire des cas, l’attaquant peut être en mesure d’effectuer une exécution de code à distance (RCE) au sein d’un utilisateur non privilégié exécutant le serveur sshd. »
Un exploit actif pour CVE-2024-6387 a depuis été détecté dans la nature, avec un acteur malveillant inconnu ciblant des serveurs principalement situés en Chine.
« Le vecteur initial de cette attaque provient de l’adresse IP 108.174.58[.]28qui hébergerait un répertoire répertoriant des outils d’exploitation et des scripts pour automatiser l’exploitation de serveurs SSH vulnérables », a déclaré la société israélienne de cybersécurité Veriti dit.