Vulnerabilidad crítica en OpenSSH "regreSSHion", chequea si estás en riesgo

TL/DR;

Una vulnerabilidad crítica (CVE-2024-6387), apodada "regreSSHion", ha resurgido en las versiones del servidor OpenSSH 8.5p1 a 9.8p1, lo que podría permitir la ejecución remota de código como root sin autenticación en sistemas Linux vulnerables. Este bug, una regresión de la vulnerabilidad CVE-2006-5051 previamente parcheada, pone de manifiesto la importancia de realizar pruebas de regresión exhaustivas. Se estima que aproximadamente 700.000 servidores OpenSSH expuestos a Internet son vulnerables. Este artículo detalla la vulnerabilidad, su impacto y los pasos para mitigar.

OpenSSH Vulnerability: CVE-2024-6387 FAQs and Resources | Qualys, Inc.
Discover what the OpenSSH vulnerability, CVE-2024-6387, is as well as resources and tools to help detect and mitigate vulnerabilities in your network.

¿Qué es la vulnerabilidad regreSSHion?

La vulnerabilidad regreSSHion (CVE-2024-6387) es "un regreso al pasado", una condición de carrera (race conditions, raft) de manejadores de señales en el servidor OpenSSH (sshd) que permite a los atacantes remotos ejecutar potencialmente código arbitrario con privilegios de root. El error resurgió en las versiones 8.5p1 a 9.8p1 debido a la eliminación accidental de un componente crítico del código. Esta vulnerabilidad permite a los atacantes no autenticados obtener el control total de los sistemas afectados. El nombre "regreSSHion" es un ingenioso juego de palabras que pone de manifiesto que esta vulnerabilidad es una regresión de un fallo previamente corregido, CVE-2006-5051.

¿Cómo funciona regreSSHion?

Esta vulnerabilidad explota una condición de carrera en la forma en que OpenSSH maneja las señales durante el proceso de autenticación. Enviando una secuencia específica de señales en el momento justo, un atacante puede forzar al servidor OpenSSH a ejecutar código malicioso con privilegios de root. Esto significa que un atacante podría potencialmente tomar el control completo de tu servidor sin necesidad de ninguna credencial de acceso válida.

¿Cuál es el impacto de regreSSHion?

La vulnerabilidad regreSSHion supone una grave amenaza para las organizaciones de todo el mundo, ya que puede provocar la completa del sistema, filtraciones de datos e interrupciones del servicio. Explotando esta vulnerabilidad, los atacantes pueden ejecutar código arbitrario con los mayores privilegios, lo que les permite:

  • Instalar malware: Inyectar software malicioso para robar datos, espiar o lanzar nuevos ataques.
  • Manipular datos: Alterar o eliminar datos confidenciales, interrumpir las operaciones y causar daños a la reputación.
  • Crear puertas traseras: Establecer un acceso persistente a los sistemas comprometidos para su futura explotación.
  • Propagarse lateralmente: Utilizar el sistema comprometido como plataforma de lanzamiento de ataques a otros sistemas de la red.

Esta vulnerabilidad es especialmente preocupante porque afecta a una tecnología muy utilizada, OpenSSH, en la que a menudo se confía para la administración remota segura y la transferencia de datos.

Cómo mitigar la vulnerabilidad regreSSHion

Abordar la vulnerabilidad regreSSHion requiere una acción inmediata. Las organizaciones deben priorizar la aplicación de parches a los sistemas afectados como principal estrategia de mitigación. A continuación, se presenta un desglose de los pasos clave:

  • Gestión de parches: La mitigación más eficaz es aplicar los parches oficiales publicados por OpenSSH. Actualiza OpenSSH a la versión 9.8p1 o posterior inmediatamente. Para versiones anteriores, consulta el aviso de seguridad de OpenSSH para obtener los parches específicos.
  • Segmentación de la red: Aísla los sistemas críticos y segmenta tu red para limitar el impacto potencial de un ataque. Esto ayuda a evitar que los atacantes se muevan lateralmente dentro de tu red si un sistema se ve comprometido.
  • Sistemas de detección y prevención de intrusiones: Despliega sistemas robustos de detección y prevención de intrusiones para supervisar el tráfico de red en busca de actividades sospechosas. Configura estos sistemas para detectar y bloquear los intentos de explotar la vulnerabilidad regreSSHion.
  • Supervisión y análisis de registros: Revisa periódicamente los registros del sistema y de seguridad en busca de cualquier indicador de compromiso. Busca intentos inusuales de conexión SSH o fallos de autenticación.
  • Principio de mínimo privilegio: Cumple el principio de mínimo privilegio concediendo a los usuarios y procesos sólo el nivel mínimo de acceso necesario para realizar sus tareas. Esto limita los daños potenciales que un atacante puede infligir si compromete una cuenta de usuario.

Ideas recogidas

La vulnerabilidad regreSSHion es un claro recordatorio de que incluso el software bien mantenido y ampliamente utilizado puede tener vulnerabilidades críticas. Las medidas de seguridad proactivas, como la aplicación oportuna de parches, las herramientas de seguridad robustas y la adhesión a las mejores prácticas de seguridad son esenciales para mitigar estas amenazas. Al tomar medidas rápidas para hacer frente a la vulnerabilidad regreSSHion, las organizaciones pueden reducir significativamente su riesgo de ser víctimas de ataques que exploten este fallo.

Referencias

regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this…
OpenSSH: Security
OpenSSH advisories

Comment using your social account:

You will be asked to grant read-only access to your public profile and email address only to verify your identity. We will never post to your account. Select your preferred social account to get started.
Service provided by Spectral Web Services.

  |

Read interesting articles in SREDevOps.org:

Whonix: An Operating System for DevSecOps, Researchers and Paranoids like you and me

Whonix: An Operating System for DevSecOps, Researchers and Paranoids like you and me

Ah, privacy. That mythical beast we all chase in this digital jungle. You think incognito mode is enough? Honey, please. Your ISP knows what you had for breakfast, and they're judging. But fear not, my friend, for there's a solution for the truly paranoid: Whonix. Whonix

DevOps Paradox: OpenTelemetry meets Mobile

DevOps Paradox: OpenTelemetry meets Mobile

OpenTelemetry is transforming the landscape of mobile app observability, providing developers with powerful tools to monitor, understand, and optimize their applications. Embrace, with its open-source SDKs and commitment to community involvement, is at the forefront of this exciting evolution. This episode of DevOps Paradox features Austin Alexander from Embrace (https:

How to fix the Critical 9.9 CVE Linux Vulnerability in CUPS: A Step-by-Step Guide

How to fix the Critical 9.9 CVE Linux Vulnerability in CUPS: A Step-by-Step Guide

Oh No! Not My Printers! Exploiting CUPS on Linux: A How-to Guide (Just Kidding, Please Patch Your Systems) Remember those carefree days when the most terrifying thing about printers was running out of ink at 3 AM just before a big deadline? Yeah, me neither. But hold onto your coffee

Linux could be facing a critical RCE vulnerability, scoring 9.9 (CVE): Let's separate hype, security, facts, and developer drama

Linux could be facing a critical RCE vulnerability, scoring 9.9 (CVE): Let's separate hype, security, facts, and developer drama

The Linux community is abuzz with news of a potential Remote Code Execution (RCE) vulnerability, sending chills down the spines of sysadmins and prompting frantic security checks. But hold on to your penguins, because things are a bit more complicated than they appear. UPDATE 29-09-2024: How to fix the Critical