El 1 de julio de 2024, la comunidad de ciberseguridad se vio sacudida por el descubrimiento de una vulnerabilidad crítica de ejecución remota de código (RCE) en OpenSSH, acertadamente denominada regreSSHion. Esta revelación provocó un frenesí entre los equipos de seguridad que se apresuraron a localizar y proteger sus servidores SSH, mientras que los proveedores de seguridad se apresuraron a desarrollar e implementar correcciones y detecciones. El caos era palpable, lo que subraya la necesidad de una comprensión más profunda de esas vulnerabilidades. En este artículo, exploraremos la naturaleza de las vulnerabilidades de RCE, su impacto potencial y cómo evaluar su gravedad y urgencia. Las vulnerabilidades de ejecución remota de código (RCE) permiten a los atacantes ejecutar código arbitrario en una máquina objetivo de forma remota debido a un error de software. Estas vulnerabilidades pueden variar ampliamente en su criticidad, influenciadas por varios factores clave que debe verificar antes de entrar en pánico. Uno de los aspectos más críticos de las vulnerabilidades de RCE es si son de autenticación previa (pre-auth). Las vulnerabilidades de autenticación previa no requieren ningún tipo de autenticación, lo que permite a los atacantes ejecutar código sin necesidad de conocer contraseñas, claves o secretos. Esto reduce drásticamente la barrera a la explotación. Ejemplos notables incluyen EternalBlue y regreSSHion, que han causado una preocupación generalizada debido a su naturaleza previa a la autorización. Las vulnerabilidades que no requieren interacción del usuario, conocidas como vulnerabilidades de “clic cero”, son particularmente peligrosas. Estas vulnerabilidades pueden explotarse sin que la víctima haga nada, como hacer clic en un enlace o abrir un archivo. Las vulnerabilidades de clic cero a menudo se contrastan con las vulnerabilidades de “un clic” o “varios clics”, que requieren cierto grado de interacción del usuario. El exploit FORCEDENTRY para dispositivos Apple iOS es un excelente ejemplo de vulnerabilidad de 0 clic. La facilidad con la que se puede explotar una vulnerabilidad es otro factor crucial. Si bien tener un exploit público disponible aumenta significativamente el peligro, otros factores también influyen. Los exploits modernos a menudo consisten en múltiples vulnerabilidades más pequeñas encadenadas, denominadas «primitivas». Esta complejidad puede hacer que la explotación sea un desafiante juego del “gato y el ratón” entre atacantes y defensores. Algunas vulnerabilidades dependen de condiciones poco comunes para activarse, conocidas como exploits estadísticos. Esto puede provocar ataques de denegación de servicio (DoS) si el exploit falla, o hacer que el exploit sea inherentemente difícil y poco fiable. El impacto de una vulnerabilidad RCE también está influenciado por la popularidad del software afectado. Una vulnerabilidad en software ampliamente utilizado como Windows u OpenSSH es inherentemente más crítica que una en una aplicación poco conocida. Por ejemplo, la vulnerabilidad EternalBlue en Windows tuvo un impacto masivo debido a la ubicuidad de Windows. La facilidad con que es parchear la vulnerabilidad también afecta su criticidad. Algunas vulnerabilidades se pueden corregir con una simple actualización, mientras que otras pueden requerir cambios significativos en la infraestructura o incluso hardware nuevo. La vulnerabilidad RowHammer, por ejemplo, destacó las dificultades para parchear ciertas vulnerabilidades a nivel de hardware. Además, las vulnerabilidades que se pueden explotar en la configuración predeterminada de una aplicación son particularmente peligrosas, ya que afectan a una base más amplia de instalaciones. Muchos usuarios y organizaciones no cambian las configuraciones predeterminadas, lo que hace que sea más probable que se aprovechen estas vulnerabilidades. EternalBlue es una de las vulnerabilidades de RCE más notorias y afecta la funcionalidad SMB de Windows en su configuración predeterminada. La disponibilidad de un exploit público hizo vulnerables a millones de máquinas con Windows, lo que provocó una explotación generalizada y un impacto significativo en organizaciones de todo el mundo. Varios factores contribuyeron a su gravedad: solo requería comunicación de red con una máquina Windows, lo que la convertía en una vulnerabilidad de autenticación previa de 0 clics. La filtración de Shadow Brokers incluía un exploit funcional que bajaba el listón para los atacantes. El uso generalizado de Windows amplificó el impacto de la vulnerabilidad, y parchear los sistemas Windows heredados resultó ser un desafío, lo que exacerbó los efectos de la vulnerabilidad. La vulnerabilidad regreSSHion, descubierta en OpenSSH, es otro RCE importante previo a la autenticación. A pesar de su naturaleza alarmante, un análisis más profundo revela factores atenuantes. OpenSSH se usa ampliamente, lo que hace que cualquier vulnerabilidad en él sea potencialmente impactante. regreSSHion es una vulnerabilidad de autenticación previa de 0 clics que afecta la configuración predeterminada. Sin embargo, el problema subyacente es una condición racial, una vulnerabilidad estadística que es difícil de explotar de manera confiable. El exploit más conocido requiere intentos continuos durante varias horas y es propenso a ser detectado por herramientas de seguridad. Si bien una prueba de concepto estuvo disponible rápidamente, no se ha lanzado ningún exploit completamente funcional y los existentes son muy complejos y dependen del entorno. A pesar de su potencial de impacto generalizado, la complejidad de explotar la regresión y la disponibilidad de mitigaciones reducen el riesgo inmediato. Se recomienda a las organizaciones parchear los activos críticos, dando prioridad a los servidores SSH con acceso a Internet. Analizar un riesgo, entendiendo sus factores de criticidad (autenticación previa, configuración predeterminada, explotabilidad, popularidad, etc.) es la forma de abordar el problema de un incidente de «nueva vulnerabilidad crítica», de una manera muy eficiente, de manera similar a como analizamos el EternalBlue y los casos de regreSSHion a sus factores de criticidad. Más allá de analizar la criticidad y aplicar parches periódicos, también es esencial una respuesta estructurada a las vulnerabilidades críticas. En primer lugar, identifique todos los activos afectados para priorizar los esfuerzos, centrándose primero en los activos críticos para el negocio y orientados a Internet. Luego, automatice la aplicación de parches cuando sea posible para garantizar una solución rápida y eficaz. Recuerde, el objetivo es evitar el pánico, evaluar la criticidad con precisión y actuar con decisión para proteger su organización. Hemos desglosado las vulnerabilidades de RCE en sus factores de criticidad para proporcionar un marco para evaluar su gravedad. Al examinar estudios de casos como EternalBlue y regreSSHion, hemos resaltado qué hace que ciertas vulnerabilidades sean más peligrosas que otras. La conclusión clave es mantenerse informado, analizar los riesgos cuidadosamente y priorizar las acciones para mantener una postura de seguridad sólida. Acerca del autor Jonathan Jacobi es parte de la oficina de CTO de la startup de ciberseguridad Dazz. Se centra en el desarrollo de productos y la innovación dentro de la empresa. Con una amplia experiencia en el campo de la ciberseguridad, Jonathan comenzó sus estudios universitarios en ciencias de la computación cuando tenía 13 años, trabajó como investigador de vulnerabilidades en Check Point Research y fue el empleado más joven de Microsoft como parte del MSRC de Microsoft. En su servicio militar, Jonathan sirvió en la Unidad de Inteligencia y Cibernética de Elite Israelí, 8200, en varios puestos de liderazgo e investigación de seguridad. La experiencia práctica de Jonathan abarca desde investigaciones de seguridad del mundo real y búsqueda de vulnerabilidades de día 0 hasta hablar en eventos de renombre mundial como TEDx y CCC (Chaos Communication Congress). También es cofundador de Perfect Blue, clasificado como el equipo de piratería (CTF) número uno del mundo (2020-2021, 2023). Puede comunicarse con Jonathan en línea en [email protected] | https://twitter.com/j0nathanj y en el sitio web de Dazz https://www.dazz.io/who-we-are URL de la publicación original: https://www.cyberdefensemagazine.com/regresshion-critical-rce-vulnerabilities -y-cuándo-deberías-tener-miedo/