Los investigadores han advertido sobre una vulnerabilidad crítica que afecta a la utilidad de red OpenSSH y que puede explotarse para dar a los atacantes el control total de los servidores Linux y Unix sin necesidad de autenticación. La vulnerabilidad, identificada como CVE-2024-6387, permite la ejecución remota de código no autenticado con derechos de sistema raíz en sistemas Linux basados ​​en glibc, una implementación de código abierto de la biblioteca estándar C. La vulnerabilidad es el resultado de una regresión de código introducida en 2020 que reintrodujo CVE-2006-5051, una vulnerabilidad que se solucionó en 2006. Con miles, si no millones, de servidores vulnerables que pueblan Internet, esta última vulnerabilidad podría suponer un riesgo importante. Toma de control total del sistema “Esta vulnerabilidad, si se explota, podría llevar a un compromiso total del sistema donde un atacante puede ejecutar código arbitrario con los privilegios más altos, lo que resulta en una toma de control total del sistema, instalación de malware, manipulación de datos y la creación de puertas traseras para acceso persistente”, escribió Bharat Jogi, director senior de investigación de amenazas en Qualys, la empresa de seguridad que la descubrió. “Podría facilitar la propagación de la red, permitiendo a los atacantes usar un sistema comprometido como punto de apoyo para atravesar y explotar otros sistemas vulnerables dentro de la organización”. El riesgo se debe en parte al papel central que desempeña OpenSSH en prácticamente todas las redes internas conectadas a Internet. Proporciona un canal para que los administradores se conecten a dispositivos protegidos de forma remota o de un dispositivo a otro dentro de la red. La capacidad de OpenSSH para admitir múltiples protocolos de cifrado fuertes, su integración en prácticamente todos los sistemas operativos modernos y su ubicación en el perímetro mismo de las redes impulsan aún más su popularidad. Además de la ubicuidad de los servidores vulnerables que pueblan Internet, CVE-2024-6387 también proporciona un medio potente para ejecutar códigos maliciosos con los privilegios más altos, sin necesidad de autenticación. El fallo se debe a una gestión defectuosa del controlador de señales, un componente de glibc para responder a eventos potencialmente graves, como intentos de división por cero. Cuando un dispositivo cliente inicia una conexión pero no se autentica correctamente en un tiempo asignado (120 segundos por defecto), los sistemas OpenSSH vulnerables llaman a lo que se conoce como un controlador SIGALRM de forma asincrónica. El fallo reside en sshd, el motor principal de OpenSSH. Qualys ha denominado a la vulnerabilidad regreSSHion. La gravedad de la amenaza que plantea la explotación es significativa, pero es probable que varios factores impidan su explotación masiva, dijeron los expertos en seguridad. Por un lado, el ataque puede tardar hasta ocho horas en completarse y requerir hasta 10.000 pasos de autenticación, dijo Stan Kaminsky, un investigador de la empresa de seguridad Kaspersky. El retraso es el resultado de una defensa conocida como aleatorización del diseño del espacio de direcciones, que cambia las direcciones de memoria donde se almacena el código ejecutable para frustrar los intentos de ejecutar cargas útiles maliciosas. Se aplican otras limitaciones. Los atacantes también deben conocer el sistema operativo específico que se ejecuta en cada servidor objetivo. Hasta ahora, nadie ha encontrado una forma de explotar sistemas de 64 bits, ya que la cantidad de direcciones de memoria disponibles es exponencialmente mayor que las disponibles para sistemas de 32 bits. Para mitigar aún más las posibilidades de éxito, los ataques de denegación de servicio que limitan la cantidad de solicitudes de conexión que ingresan a un sistema vulnerable evitarán que los intentos de explotación tengan éxito. Todas esas limitaciones probablemente evitarán que CVE-2024-6387 sea explotado en masa, dijeron los investigadores, pero aún existe el riesgo de ataques dirigidos que acribillan una red específica de interés con intentos de autenticación durante unos días hasta permitir la ejecución del código. Para cubrir sus huellas, los atacantes podrían distribuir solicitudes a través de una gran cantidad de direcciones IP de una manera similar a los ataques de pulverización de contraseñas. De esta manera, los atacantes podrían apuntar a un puñado de redes vulnerables hasta que uno o más de los intentos tuvieran éxito. La vulnerabilidad afecta a lo siguiente: Las versiones de OpenSSH anteriores a 4.4p1 son vulnerables a esta condición de carrera del controlador de señales a menos que se les apliquen parches para CVE-2006-5051 y CVE-2008-4109. Las versiones desde 4.4p1 hasta, pero sin incluir, 8.5p1 no son vulnerables debido a un parche transformativo para CVE-2006-5051, que hizo que una función previamente insegura fuera segura. La vulnerabilidad resurge en versiones desde 8.5p1 hasta, pero sin incluir, 9.8p1 ​​debido a la eliminación accidental de un componente crítico en una función. Cualquiera que ejecute una versión vulnerable debe actualizar lo antes posible.