01 de julio de 2024Sala de prensaLinux/Vulnerabilidad Los mantenedores de OpenSSH han publicado actualizaciones de seguridad para contener una falla de seguridad crítica que podría resultar en la ejecución remota de código no autenticado con privilegios de root en sistemas Linux basados ​​en glibc. A la vulnerabilidad se le ha asignado el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones desde cualquiera de las aplicaciones cliente. «La vulnerabilidad, que es una condición de carrera del controlador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código (RCE) no autenticado como raíz en sistemas Linux basados ​​en glibc», dijo Bharat Jogi, director senior de la unidad de investigación de amenazas de Qualys. en una divulgación publicada hoy. «Esta condición de carrera afecta a sshd en su configuración predeterminada». La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestas a Internet, y agregó que es una regresión de una falla de 18 años ya parcheada rastreada como CVE-2006-5051, y que el problema se restableció en octubre de 2020. como parte de OpenSSH versión 8.5p1. «Se ha demostrado una explotación exitosa en sistemas Linux/glibc de 32 bits con [address space layout randomization]», dijo OpenSSH en un aviso. «En condiciones de laboratorio, el ataque requiere un promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará». La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Versiones anteriores a 4.4p1 También son vulnerables al error de condición de carrera a menos que estén parcheados para CVE-2006-5051 y CVE-2008-4109. Vale la pena señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Específicamente, Qualys descubrió que si. un cliente no se autentica dentro de los 120 segundos (una configuración definida por LoginGraceTime), entonces el controlador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para la señal asíncrona. El efecto neto de explotar CVE-2024-6387 es un compromiso total del sistema y su toma de control. , lo que permite a los actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robar datos e incluso mantener un acceso persistente. «Una falla, una vez solucionada, ha reaparecido en una versión de software posterior, generalmente debido a cambios o actualizaciones que se reintroducen inadvertidamente. el problema», dijo Jogi. «Este incidente resalta el papel crucial de las pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el medio ambiente». Si bien la vulnerabilidad tiene obstáculos importantes debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios que apliquen los parches más recientes para protegerse contra posibles amenazas. También se recomienda limitar el acceso SSH a través de controles basados ​​en la red y aplicar la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.