La Unidad de Investigación de Amenazas de Qualys (TRU) ha detectado una falla de seguridad grave, denominada «regreSSHion», que deja a millones de sistemas Linux vulnerables a la ejecución remota de código.
La vulnerabilidad se denomina «regreSSHion» porque hace referencia a su naturaleza como un error de regresión que afecta a OpenSSH. Una regresión en este contexto significa que una falla, una vez corregida, ha reaparecido en una versión de software posterior, generalmente debido a cambios o actualizaciones que reintroducen el problema de forma inadvertida.
La vulnerabilidad, identificada como CVE-2024-6387, afecta al servidor de OpenSSH (sshd) en sistemas Linux basados en glibc, lo que permite a atacantes no autenticados obtener acceso root y potencialmente tomar el control total de las máquinas afectadas.
OpenSSH es un conjunto de utilidades de red basadas en el protocolo Secure Shell (SSH). Se utiliza ampliamente para inicios de sesión remotos seguros, administración/gestión de servidores remotos y transferencias de archivos a través de SCP y SFTP.
- CVE-2024-6387 (CVSS: 8.1): Es una vulnerabilidad de Signal Handler Race Condition en el servidor OpenSSH (sshd), afecta a sshd en su configuración predeterminada y no requiere interacción del usuario. Esta falla permite a atacantes remotos no autenticados ejecutar código arbitrario con privilegios de root, lo que brinda control total sobre los sistemas afectados.
Se han identificado más de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables mediante búsquedas en Censys y Shodan. Los propios datos de Qualys revelan que aproximadamente 700,000 de ellas están expuestas a Internet.
Productos y versiones afectadas:
- Las versiones de OpenSSH anteriores a la 4.4p1 son vulnerables a menos que tengan parches para CVE-2006-5051 y CVE-2008-4109.
- Las versiones desde 4.4p1 hasta 8.5p1 (no incluida), no son vulnerables dado que contiene un parche para CVE-2006-5051, que hizo segura una función que antes no era segura.
- La vulnerabilidad reaparece en las versiones desde 8.5p1 hasta la 9.8p1 (no incluida), debido a la eliminación accidental de un componente crítico en una función.
Solución:
- OpenSSH: Versión 9.8p1.
Workaround
Si el servidor OpenSSH no se puede actualizar inmediatamente, configure LoginGraceTime en 0 en el archivo de configuración sshd, tener en cuenta que esto puede exponer el servidor a ataques de denegación de servicio debido a la posibilidad de agotamiento de la conexión de MaxStartups.
Recomendaciones:
- Implementar lo antes posible la última actualización disponible para el servidor OpenSSH para mitigar los riesgos potenciales.
- Restringir el acceso SSH utilizando controles basados en red, como firewalls, e implementar segmentación de red para evitar el movimiento lateral.
- Monitorear y alertar sobre actividades inusuales con sistemas de detección de intrusiones.
- Utilizar tecnologías de aprendizaje profundo para identificar y mitigar intentos de explotación.
Referencias:
- https://securityonline.info/cve-2024-6387-critical-openssh-unauthenticated-rce-flaw-regresshion-exposes-millions-of-linux-systems/
- https://www.bleepingcomputer.com/news/security/new-regresshion-openssh-rce-bug-gives-root-on-linux-servers/
- https://thehackernews.com/2024/07/new-openssh-vulnerability-could-lead-to.html
- https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
- https://access.redhat.com/security/cve/CVE-2024-6387