Los mantenedores de OpenSSH han publicado actualizaciones de seguridad para abordar una vulnerabilidad crítica que podría resultar en la ejecución remota de código en sistemas Linux basados en glibc.
La vulnerabilidad, conocida como regreSSHion y asignada con el identificador CVE-2024-6387, se encuentra en el componente del servidor OpenSSH, sshd, y permite la ejecución remota de código no autenticado como root en sistemas Linux basados en glibc. Qualys, una firma de ciberseguridad, reveló que la vulnerabilidad afecta a aproximadamente 14 millones de instancias de servidores OpenSSH potencialmente vulnerables. Esto representa una regresión de una vulnerabilidad ya parchada hace 18 años, identificada como CVE-2006-5051, reinstalada en octubre de 2020 como parte de la versión 8.5p1 de OpenSSH.
La explotación de esta vulnerabilidad ha sido exitosa en sistemas Linux/glibc de 32 bits con diseño de espacio de direcciones aleatorio. OpenSSH indicó que, en condiciones de laboratorio, el ataque requiere un promedio de 6-8 horas de conexiones continuas.
Las versiones de OpenSSH entre 8.5p1 y 9.7p1 se ven afectadas por esta vulnerabilidad. Las versiones anteriores a 4.4p1 también son vulnerables a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Se destaca que los sistemas OpenBSD no se ven afectados debido a un mecanismo de seguridad que bloquea la falla.
Aunque su capacidad de explotación en macOS y Windows no se ha confirmado, se presume que la vulnerabilidad también podría afectar a estas plataformas.
La explotación de CVE-2024-6387 resultaría en la compromisión total del sistema, lo que permitiría a los actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robar datos e incluso mantener acceso persistente.
La reintroducción inadvertida de problemas al realizar cambios o actualizaciones en el software destaca la importancia de pruebas de regresión exhaustivas para prevenir vulnerabilidades conocidas en el entorno.
A pesar de los obstáculos significativos asociados con esta condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches y seguir las mejores prácticas de seguridad, como limitar el acceso SSH a través de controles basados en la red y aplicar la segmentación de red para evitar accesos no autorizados y movimiento lateral.
Vía The Hacker News