10 de julio de 2024Sala de prensaVulnerabilidad / Seguridad de la red Algunas versiones de la suite de redes seguras OpenSSH son susceptibles a una nueva vulnerabilidad que puede desencadenar la ejecución remota de código (RCE). La vulnerabilidad, identificada como CVE-2024-6409 (puntuación CVSS: 7,0), es distinta de CVE-2024-6387 (también conocida como RegreSSHion) y se relaciona con un caso de ejecución de código en el proceso secundario privsep debido a una condición de carrera en el manejo de señales. Solo afecta a las versiones 8.7p1 y 8.8p1 que se incluyen con Red Hat Enterprise Linux 9. El investigador de seguridad Alexander Peslyak, que se hace llamar Solar Designer, ha sido reconocido por descubrir y reportar el error, que se encontró durante una revisión de CVE-2024-6387 después de que Qualys divulgara este último a principios de este mes. «La principal diferencia con CVE-2024-6387 es que la condición de carrera y el potencial de RCE se activan en el proceso secundario privsep, que se ejecuta con privilegios reducidos en comparación con el proceso del servidor principal», dijo Peslyak. «Por lo tanto, el impacto inmediato es menor. Sin embargo, puede haber diferencias en la explotabilidad de estas vulnerabilidades en un escenario particular, lo que podría hacer que cualquiera de ellas sea una opción más atractiva para un atacante, y si solo una de ellas se corrige o mitiga, la otra se vuelve más relevante». Sin embargo, vale la pena señalar que la vulnerabilidad de condición de carrera del controlador de señales es la misma que CVE-2024-6387, en la que si un cliente no se autentica dentro de los segundos de LoginGraceTime (120 por defecto), entonces se llama asincrónicamente al controlador SIGALRM del proceso demonio OpenSSH, que luego invoca varias funciones que no son seguras para señales asincrónicas. «Este problema lo deja vulnerable a una condición de carrera del controlador de señales en la función cleanup_exit(), que introduce la misma vulnerabilidad que CVE-2024-6387 en el hijo sin privilegios del servidor SSHD», según la descripción de la vulnerabilidad. «Como consecuencia de un ataque exitoso, en el peor de los casos, el atacante puede realizar una ejecución de código remoto (RCE) dentro de un usuario sin privilegios que ejecuta el servidor sshd». Desde entonces, se ha detectado un exploit activo para CVE-2024-6387, con un actor de amenazas desconocido que ataca a servidores ubicados principalmente en China. «El vector inicial de este ataque se origina en la dirección IP 108.174.58[.]28, que, según se informó, alberga un directorio que incluye herramientas de explotación y scripts para automatizar la explotación de servidores SSH vulnerables», dijo la empresa israelí de ciberseguridad Veriti. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.