Vulnerabilidad crítica en OpenSSH "regreSSHion", chequea si estás en riesgo

TL/DR;

Una vulnerabilidad crítica (CVE-2024-6387), apodada "regreSSHion", ha resurgido en las versiones del servidor OpenSSH 8.5p1 a 9.8p1, lo que podría permitir la ejecución remota de código como root sin autenticación en sistemas Linux vulnerables. Este bug, una regresión de la vulnerabilidad CVE-2006-5051 previamente parcheada, pone de manifiesto la importancia de realizar pruebas de regresión exhaustivas. Se estima que aproximadamente 700.000 servidores OpenSSH expuestos a Internet son vulnerables. Este artículo detalla la vulnerabilidad, su impacto y los pasos para mitigar.

OpenSSH Vulnerability: CVE-2024-6387 FAQs and Resources | Qualys, Inc.

Discover what the OpenSSH vulnerability, CVE-2024-6387, is as well as resources and tools to help detect and mitigate vulnerabilities in your network.

Qualys

¿Qué es la vulnerabilidad regreSSHion?

La vulnerabilidad regreSSHion (CVE-2024-6387) es "un regreso al pasado", una condición de carrera (race conditions, raft) de manejadores de señales en el servidor OpenSSH (sshd) que permite a los atacantes remotos ejecutar potencialmente código arbitrario con privilegios de root. El error resurgió en las versiones 8.5p1 a 9.8p1 debido a la eliminación accidental de un componente crítico del código. Esta vulnerabilidad permite a los atacantes no autenticados obtener el control total de los sistemas afectados. El nombre "regreSSHion" es un ingenioso juego de palabras que pone de manifiesto que esta vulnerabilidad es una regresión de un fallo previamente corregido, CVE-2006-5051.

¿Cómo funciona regreSSHion?

Esta vulnerabilidad explota una condición de carrera en la forma en que OpenSSH maneja las señales durante el proceso de autenticación. Enviando una secuencia específica de señales en el momento justo, un atacante puede forzar al servidor OpenSSH a ejecutar código malicioso con privilegios de root. Esto significa que un atacante podría potencialmente tomar el control completo de tu servidor sin necesidad de ninguna credencial de acceso válida.

¿Cuál es el impacto de regreSSHion?

La vulnerabilidad regreSSHion supone una grave amenaza para las organizaciones de todo el mundo, ya que puede provocar la completa del sistema, filtraciones de datos e interrupciones del servicio. Explotando esta vulnerabilidad, los atacantes pueden ejecutar código arbitrario con los mayores privilegios, lo que les permite:

• Instalar malware: Inyectar software malicioso para robar datos, espiar o lanzar nuevos ataques.
• Manipular datos: Alterar o eliminar datos confidenciales, interrumpir las operaciones y causar daños a la reputación.
• Crear puertas traseras: Establecer un acceso persistente a los sistemas comprometidos para su futura explotación.
• Propagarse lateralmente: Utilizar el sistema comprometido como plataforma de lanzamiento de ataques a otros sistemas de la red.

Esta vulnerabilidad es especialmente preocupante porque afecta a una tecnología muy utilizada, OpenSSH, en la que a menudo se confía para la administración remota segura y la transferencia de datos.

Cómo mitigar la vulnerabilidad regreSSHion

Abordar la vulnerabilidad regreSSHion requiere una acción inmediata. Las organizaciones deben priorizar la aplicación de parches a los sistemas afectados como principal estrategia de mitigación. A continuación, se presenta un desglose de los pasos clave:

• Gestión de parches: La mitigación más eficaz es aplicar los parches oficiales publicados por OpenSSH. Actualiza OpenSSH a la versión 9.8p1 o posterior inmediatamente. Para versiones anteriores, consulta el aviso de seguridad de OpenSSH para obtener los parches específicos.
• Segmentación de la red: Aísla los sistemas críticos y segmenta tu red para limitar el impacto potencial de un ataque. Esto ayuda a evitar que los atacantes se muevan lateralmente dentro de tu red si un sistema se ve comprometido.
• Sistemas de detección y prevención de intrusiones: Despliega sistemas robustos de detección y prevención de intrusiones para supervisar el tráfico de red en busca de actividades sospechosas. Configura estos sistemas para detectar y bloquear los intentos de explotar la vulnerabilidad regreSSHion.
• Supervisión y análisis de registros: Revisa periódicamente los registros del sistema y de seguridad en busca de cualquier indicador de compromiso. Busca intentos inusuales de conexión SSH o fallos de autenticación.
• Principio de mínimo privilegio: Cumple el principio de mínimo privilegio concediendo a los usuarios y procesos sólo el nivel mínimo de acceso necesario para realizar sus tareas. Esto limita los daños potenciales que un atacante puede infligir si compromete una cuenta de usuario.

Ideas recogidas

La vulnerabilidad regreSSHion es un claro recordatorio de que incluso el software bien mantenido y ampliamente utilizado puede tener vulnerabilidades críticas. Las medidas de seguridad proactivas, como la aplicación oportuna de parches, las herramientas de seguridad robustas y la adhesión a las mejores prácticas de seguridad son esenciales para mitigar estas amenazas. Al tomar medidas rápidas para hacer frente a la vulnerabilidad regreSSHion, las organizaciones pueden reducir significativamente su riesgo de ser víctimas de ataques que exploten este fallo.

Referencias

• Blog de Seguridad de Qualys

regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog

The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this…

Qualys, Inc.Bharat Jogi

• Seguridad de OpenSSH

OpenSSH: Security

OpenSSH advisories