CVE-2024-6387: Vulnerabilidad alta regreSSHion afecta a OpenSSH

Se ha revelado información acerca de una nueva vulnerabilidad de criticidad alta (CVE-2024-6387) que afecta a los servidores OpenSSH montados sobre sistema operativo Linux. La vulnerabilidad CVE-2024-6387 permitiría a un atacante no autenticado obtener ejecución remota de código (RCE por sus siglas en inglés).

OpenSSH es la herramienta más popular utilizada para mantener conexiones mediante el protocolo SSH. Cifra todo el tráfico para eliminar las filtraciones, el secuestro de sesiones y otros ataques. Además, OpenSSH ofrece un amplio conjunto de funciones de túneles, varios métodos de autenticación y sofisticadas opciones de configuración.

Diferentes análisis en herramientas como Shoda or Censys muestran que hay más de 14 millones de instancias expuestas de OpenSSH que son potencialmente vulnerables a regreSSHion.

La vulnerabilidad CVE-2024-6387, que afecta a la instalación por defecto de OpenSSH, consiste en explotar una condición de carrera para conseguir la ejecución de código. Si bien el resultado de la explotación (RCE como el usuario root) tiene un impacto crítico, el riesgo de esta vulnerabilidad es considerado “alto” debido a la complejidad de la ejecución de esta condición de carrera, ya que para el resultado final es necesario realizar un gran número de intentos durante un largo e indefinido periodo de tiempo.

La explotación de regreSSHion en sistemas Linux se debe al uso de syslog, que a su vez emplea otras funciones inseguras como pueden ser malloc o free. Los sistemas OpenBSD no se ven afectados debido a que utilizan una versión segura de la función syslog.

Características principales de la CVE-2024-6387

A continuación, se detallan las características principales de esta vulnerabilidad.

• Identificador CVE: CVE-2024-6387
• Fecha de publicación: 01/07/2024
• Software Afectado: OpenSSH
• CVSS Score: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H (8.1 High)
• Versiones afectadas:
  • Las anteriores a 4.4p1 (excepto las parcheadas para los CVE-2006-5051 y CVE-2008-4109).
  • Desde la 8.5p1 hasta la 9.8p1 (no incluida).

Mitigación de la CVE-2024-6387

La solución principal consiste en actualizar el servidor de OpenSSH a la versión 9.8p1, ya que esta versión no se ve afectada por esta vulnerabilidad. No obstante, para mitigar el riesgo también se puede limitar el acceso mediante SSH a la red interna, a la vez que segmentar y monitorizar la red para detectar accesos inusuales.

Detección de la vulnerabilidad

La presencia de la vulnerabilidad puede ser identificada mediante el siguiente script:

– https://github.com/xaitax/CVE-2024-6387_Check

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.

Referencias

• https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
• https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server