Más de 14 millones de instancias OpenSSH expuestas a Internet ahora están en riesgo tras el descubrimiento de una vulnerabilidad crítica en el servidor de OpenSSH, según un nuevo análisis de Qualys. La vulnerabilidad de ejecución remota de código no autenticado (RCE) (CVE-2024-6387) podría llevar a un compromiso total del sistema donde un atacante puede ejecutar código arbitrario con los privilegios más altos. Esto podría resultar en: Toma de control total del sistema Instalación de malware Manipulación de datos Creación de puertas traseras para acceso persistente Propagación de red, permitiendo a los atacantes usar el sistema comprometido como un punto de apoyo para atravesar y explotar otros sistemas vulnerables dentro de la organización Los investigadores también advirtieron que obtener acceso root a través de este CVE permitiría a los actores de amenazas ocultar aún más sus actividades al eludir mecanismos de seguridad críticos como firewalls, sistemas de detección de intrusos y mecanismos de registro. La vulnerabilidad, denominada regreSSHion, ha sido calificada como grave y crítica, especialmente para empresas que dependen en gran medida de OpenSSH para la administración remota de servidores. Lea aquí: NVD deja vulnerabilidades explotadas sin controlar Una vulnerabilidad generalizada OpenSSH es una herramienta de conectividad para inicio de sesión remoto que utiliza el protocolo Secure Shell (SSH), que se utiliza para permitir la comunicación segura a través de redes no seguras. La herramienta admite varias tecnologías de cifrado y es estándar en múltiples sistemas tipo Unix, incluidos macOS y Linux. Esta vulnerabilidad en particular afecta a los sistemas Linux basados ​​en glibc. Los sistemas OpenBSD no se ven afectados por la vulnerabilidad debido a un mecanismo seguro desarrollado por OpenBSD en 2001. Qualys dijo que ha identificado más de 14 millones de instancias de servidor OpenSSH potencialmente vulnerables expuestas a Internet, según búsquedas realizadas con Censys y Shodan. Aproximadamente 700.000 instancias externas orientadas a Internet son vulnerables en toda la base de clientes global de Qualys. La RCE es una regresión de la vulnerabilidad previamente parcheada CVE-2006-5051, que se informó en 2006. Una regresión puede ocurrir cuando una falla previamente corregida reaparece en una versión de software posterior, generalmente debido a cambios o actualizaciones que reintroducen el problema inadvertidamente. Los investigadores notaron que la vulnerabilidad es difícil de explotar debido a su naturaleza de condición de carrera remota que requiere múltiples intentos para un ataque exitoso. Esto puede causar corrupción de memoria y requiere superar la aleatorización del diseño del espacio de direcciones (ASLR). Sin embargo, los avances en el aprendizaje profundo podrían aumentar significativamente la tasa de explotación al brindarles a los atacantes una «ventaja sustancial» para aprovechar dichas vulnerabilidades. Cómo prevenir la explotación Las versiones de OpenSSH anteriores a 4.4p1 son vulnerables a ser comprometidas debido a esta falla, a menos que se les apliquen parches para CVE-2006-5051 y CVE-2008-4109. La vulnerabilidad también reaparece en v8.5p1 hasta, pero sin incluir, 9.8p1, debido a la eliminación accidental de un componente crítico en una función. Las versiones desde 4.4p1 hasta, pero sin incluir, 8.5p1 no son vulnerables debido a un parche transformador para CVE-2006-5051. Se ha instado a las organizaciones que utilizan las versiones afectadas a tomar las siguientes medidas para mitigar el riesgo de ataque a través de esta falla: Aplicar rápidamente los parches disponibles para OpenSSH y priorizar los procesos de actualización en curso. Utilizar controles basados ​​en red para limitar el acceso SSH, minimizando los riesgos de ataque. Segmentar las redes para restringir el acceso no autorizado y los movimientos laterales dentro de entornos críticos. Implementar sistemas para monitorear y alertar sobre las actividades habituales indicativas de intentos de explotación.