Les responsables d’OpenSSH ont publié des mises à jour de sécurité pour contenir une faille de sécurité critique qui pourrait entraîner l’exécution de code à distance non authentifié avec des privilèges root dans les systèmes Linux basés sur glibc.
La vulnérabilité, dont le nom de code est regreSSHion, a reçu l’identifiant CVE CVE-2024-6387. Elle réside dans le Composant du serveur OpenSSHégalement connu sous le nom de sshd, qui est conçu pour écouter les connexions de n’importe quelle application cliente.
« La vulnérabilité, qui est une condition de concurrence du gestionnaire de signaux dans le serveur OpenSSH (sshd), permet l’exécution de code à distance non authentifiée (RCE) en tant que root sur les systèmes Linux basés sur glibc », a déclaré Bharat Jogi, directeur principal de l’unité de recherche sur les menaces chez Qualys, dit dans une divulgation publiée aujourd’hui. « Cette condition de concurrence affecte sshd dans sa configuration par défaut. »
La société de cybersécurité a déclaré avoir identifié pas moins de 14 millions d’instances de serveurs OpenSSH potentiellement vulnérables exposées à Internet, ajoutant qu’il s’agissait d’une régression d’une faille vieille de 18 ans déjà corrigée et suivie comme CVE-2006-5051avec le problème rétabli en octobre 2020 dans le cadre de la version 8.5p1 d’OpenSSH.
« Une exploitation réussie a été démontrée sur des systèmes Linux/glibc 32 bits avec [address space layout randomization] » OpenSSH dit dans un avis. « Dans des conditions de laboratoire, l’attaque nécessite en moyenne 6 à 8 heures de connexions continues jusqu’au maximum accepté par le serveur. »
La vulnérabilité affecte les versions entre 8.5p1 et 9.7p1. Les versions antérieures à 4.4p1 sont également vulnérables au bogue de condition de concurrence, à moins qu’elles ne soient corrigées pour CVE-2006-5051 et CVE-2008-4109Il convient de noter que les systèmes OpenBSD ne sont pas affectés car ils incluent un mécanisme de sécurité qui bloque la faille.
Il est probable que la faille de sécurité affecte également macOS et Windows, bien que son exploitabilité sur ces plateformes reste non confirmée et nécessite une analyse plus approfondie.
Plus précisément, Qualys a constaté que si un client ne s’authentifie pas dans les 120 secondes (un paramètre défini par LoginGraceTime), le gestionnaire SIGALRM de sshd est appelé de manière asynchrone d’une manière qui n’est pas signal asynchrone sécurisé.
L’effet net de l’exploitation de CVE-2024-6387 est une compromission et une prise de contrôle complètes du système, permettant aux acteurs de la menace d’exécuter du code arbitraire avec les privilèges les plus élevés, de subvertir les mécanismes de sécurité, de voler des données et même de maintenir un accès persistant.
« Une faille, une fois corrigée, réapparaît dans une version ultérieure du logiciel, généralement en raison de modifications ou de mises à jour qui réintroduisent par inadvertance le problème », a déclaré Jogi. « Cet incident met en évidence le rôle crucial des tests de régression approfondis pour empêcher la réintroduction de vulnérabilités connues dans l’environnement. »
Bien que la vulnérabilité présente des obstacles importants en raison de sa nature de condition de concurrence à distance, il est recommandé aux utilisateurs d’appliquer les derniers correctifs pour se protéger contre les menaces potentielles. Il est également conseillé de limiter l’accès SSH via des contrôles basés sur le réseau et d’appliquer la segmentation du réseau pour restreindre l’accès non autorisé et les mouvements latéraux.