Investigadores de la Unidad de Investigación de Amenazas de Qualys (TRU) han descubierto una grave falla de seguridad en el servidor de OpenSSH (sshd) en sistemas Linux basados en glibc. Han denominado a esta vulnerabilidad "regreSSHion", ya que representa la reaparición de un error previamente parcheado en 2006 (CVE-2006-5051). Se describe como "crítica".
Detalles de la Vulnerabilidad CVE-2024-6387
La nueva vulnerabilidad, asignada como CVE-2024-6387, permite la ejecución remota de código no autenticado (RCE) con privilegios de root, lo que representa una amenaza grave para los sistemas afectados.
Un atacante podría potencialmente obtener el control completo del sistema afectado, ejecutando código arbitrario con privilegios de root. Esto podría permitir la instalación de malware, la creación de puertas traseras y la exfiltración o manipulación de datos. Además, obtener privilegios de root podría permitir al intruso desactivar o eludir sistemas de seguridad críticos para mantener una presencia permanente.
Naturaleza de la Vulnerabilidad y Medidas de Mitigación
La vulnerabilidad es "una condición de carrera en el manejador de señales del servidor de OpenSSH (sshd)", según Bharat Jogi, director senior de Qualys TRU, en una publicación en el sitio web de la empresa. "Esta condición de carrera afecta a sshd en su configuración predeterminada".
Afortunadamente, al ser una condición de carrera, no es fácil de explotar, requiriendo múltiples intentos para un ataque exitoso. "Esto puede causar corrupción de memoria y necesitar superar la Aleatorización del Diseño del Espacio de Direcciones (ASLR)".
No obstante, los investigadores dicen que, dado el riesgo que representa regreSSHion, las organizaciones deben tomar medidas inmediatas para localizar y asegurar los sistemas vulnerables aplicando parches, reconfigurando sshd y segmentando las redes cuando sea posible.
Sistemas Afectados y Acciones Recomendadas
OpenSSH es un conjunto de herramientas de software que permite el inicio de sesión remoto seguro utilizando el protocolo de cifrado SSH. Está incluido en todos los sistemas Linux basados en glibc, lo que significa prácticamente todas las distribuciones principales, excepto Alpine Linux, que utiliza libc. Los sistemas BSD no se ven afectados. Qualys dice que aún no sabe hasta qué punto los sistemas operativos macOS o Windows pueden estar impactados.
Usando los motores de búsqueda Censys y Shodan, los investigadores de TRU identificaron más de 14 millones de instancias potencialmente vulnerables de servidores OpenSSH expuestas a Internet. Entre los clientes de Qualys, hay alrededor de 700,000 instancias, representando el 31% de la base de clientes.
Las versiones de OpenSSH anteriores a 4.4p1 (lanzadas en 2006) son vulnerables a menos que hayan sido parcheadas para CVE-2006-5051 y CVE-2008-4109. Las versiones 8.5p1 (lanzadas en marzo de 2021) hasta, pero sin incluir, 9.8p1 (lanzadas el 1 de julio de 2024) también se ven afectadas, debido a la eliminación accidental de un componente crítico. La vulnerabilidad ha sido corregida en la versión 9.8p1.
Se espera que los proveedores lancen sus propios parches en breve. Mientras tanto, hay medidas de mitigación que las organizaciones pueden tomar.
"Si sshd no puede ser actualizado o recompilado, configure LoginGraceTime en 0 en el archivo de configuración," recomiendan los investigadores. "Esto expone a sshd a una denegación de servicio al usar todas las conexiones de MaxStartups, pero previene el riesgo de ejecución remota de código."
Computing ha contactado a Qualys para preguntar si se han observado explotaciones de regreSSHion en la práctica.