Los mantenedores de OpenSSH han publicado actualizaciones de seguridad para contener una falla de seguridad crítica que podría resultar en la ejecución remota de código no autenticado con privilegios de root en sistemas Linux basados en glibc.
La vulnerabilidad, cuyo nombre en código es regreSSHion, ha recibido el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH , también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente.
«La vulnerabilidad, que es una condición de carrera del controlador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código (RCE) no autenticada como root en sistemas Linux basados en glibc», dijo Bharat Jogi, director senior de la unidad de investigación de amenazas de Qualys, en un comunicado publicado hoy. «Esta condición de carrera afecta a sshd en su configuración predeterminada».
La empresa de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidor OpenSSH potencialmente vulnerables expuestas a Internet, y agregó que es una regresión de una falla de 18 años ya parcheada, identificada como CVE-2006-5051 , y que el problema se restableció en octubre de 2020 como parte de la versión 8.5p1 de OpenSSH.
«Se ha demostrado una explotación exitosa en sistemas Linux/glibc de 32 bits con [ aleatorización del diseño del espacio de direcciones ]», dijo OpenSSH en un aviso. «En condiciones de laboratorio, el ataque requiere un promedio de 6 a 8 horas de conexiones continuas hasta el máximo que aceptará el servidor».
La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a 4.4p1 también son vulnerables al error de condición de carrera a menos que se les apliquen parches para CVE-2006-5051 y CVE-2008-4109 . Vale la pena señalar que los sistemas OpenBSD no se ven afectados, ya que incluyen un mecanismo de seguridad que bloquea la falla.
Es probable que la deficiencia de seguridad afecte también tanto a macOS como a Windows, aunque su explotabilidad en estas plataformas aún no está confirmada y requiere más análisis.
Específicamente, Qualys descubrió que si un cliente no se autentica dentro de los 120 segundos (una configuración definida por LoginGraceTime), entonces el controlador SIGALRM de sshd se llama de forma asincrónica de una manera que no es async-signal-safe.
El efecto neto de explotar CVE-2024-6387 es comprometer y apoderarse de todo el sistema, lo que permite a los actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robar datos e incluso mantener un acceso persistente.
«Una falla, una vez solucionada, reaparece en una versión posterior del software, generalmente debido a cambios o actualizaciones que inadvertidamente reintroducen el problema», dijo Jogi. «Este incidente resalta el papel crucial de las pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el medio ambiente».
Si bien la vulnerabilidad presenta importantes obstáculos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios que apliquen los parches más recientes para protegerse contra posibles amenazas. También se recomienda limitar el acceso SSH a través de controles basados en la red y aplicar la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral.
Fuente y redacción: thehackernews.com