CVE-2024-6387: el fallo crítico ‘regreSSHion’ expone a millones de sistemas Linux a RCE no autenticado

La Unidad de Investigación de Amenazas de Qualys (TRU) ha descubierto esta vulnerabilidad que deja expuestos a millones de sistemas Linux basados en glibc a la ejecución remota de código (RCE). Este fallo marca la primera vulnerabilidad de OpenSSH en casi dos décadas que permite la ejecución de código remoto no autenticado con acceso root completo.

Esta vulnerabilidad, identificada como CVE-2024-6387, afecta al servidor de OpenSSH (sshd) en sistemas Linux basados en glibc, permitiendo a atacantes no autenticados obtener acceso root y potencialmente tomar el control completo de las máquinas afectadas. Afecta a la configuración predeterminada y no requiere interacción del usuario, representando un riesgo significativo.

La Unidad de Investigación de Amenazas de Qualys (TRU) descubrió esta vulnerabilidad de RCE no autenticada en el servidor de OpenSSH en sistemas Linux basados en glibc. Este fallo marca la primera vulnerabilidad de OpenSSH en casi dos décadas que permite la ejecución de código remoto no autenticado con acceso root completo. Afecta a la configuración predeterminada y no requiere interacción del usuario, representando un riesgo significativo de explotación.

«Este fallo supone la primera vulnerabilidad de OpenSSH en casi dos décadas: un RCE no autenticado que concede acceso total de root. Afecta a la configuración por defecto y no requiere la interacción del usuario, lo que plantea un riesgo de explotación significativo», señaló el investigador.

Detalles de la vulnerabilidad

Este fallo se origina en una condición de carrera en el manejador de señales del servidor de OpenSSH (sshd), afectando su configuración predeterminada y «no requiere interacción del usuario». Esta condición de carrera es especialmente preocupante ya que permite la ejecución de código remoto no autenticado con privilegios de root, lo que otorga a los atacantes control total sobre los sistemas afectados. Este problema está presente en las versiones de OpenSSH desde la 8.5p1 hasta, pero sin incluir, la 9.8p1, reintroduciendo un problema previamente solucionado en CVE-2006-5051.

¿Qué es regreSSHion?

La vulnerabilidad fue nombrada ‘regreSSHion’ debido a su naturaleza como un fallo de regresión que afecta a OpenSSH. ‘regreSSHion’, identificado como CVE-2024-6387, es una vulnerabilidad de ejecución remota de código no autenticado en el servidor de OpenSSH (sshd) que otorga acceso root completo. Afecta a la configuración predeterminada y no requiere interacción del usuario, lo que representa un riesgo significativo de explotación.

En su análisis, Qualys TRU identificó que esta vulnerabilidad es una regresión del problema previamente solucionado CVE-2006-5051, reportado en 2006. Una regresión en este contexto significa que un fallo, una vez corregido, ha reaparecido en una versión posterior del software, típicamente debido a cambios o actualizaciones que vuelven a introducir el problema. Este incidente resalta la importancia crucial de las pruebas de regresión exhaustivas para evitar la reincorporación de vulnerabilidades conocidas en el entorno. Esta regresión se introdujo en octubre de 2020 (OpenSSH 8.5p1).

Sobre OpenSSH

OpenSSH es una suite de utilidades de red seguras basadas en el protocolo SSH, esencial para la comunicación segura sobre redes no seguras. Proporciona cifrado robusto, transferencias de archivos seguras y gestión remota de servidores. OpenSSH es ampliamente utilizado en sistemas similares a Unix, incluyendo macOS y Linux, y soporta diversas tecnologías de cifrado y aplica controles de acceso sólidos. A pesar de una vulnerabilidad reciente, OpenSSH mantiene un historial de seguridad sólido, ejemplificando un enfoque de defensa en profundidad y siendo una herramienta crítica para preservar la confidencialidad e integridad de la comunicación en red a nivel mundial.

Versiones de OpenSSH afectadas

• Vulnerables: las versiones de OpenSSH anteriores a la 4.4p1, a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109.
• No vulnerables: las versiones de la 4.4p1 hasta, pero sin incluir, la 8.5p1 debido a un parche transformador para CVE-2006-5051.
• Vulnerables nuevamente: las versiones desde la 8.5p1 hasta, pero sin incluir, la 9.8p1 debido a la eliminación accidental de un componente severo en una función.

Alcance de la vulnerabilidad

El alcance de la vulnerabilidad es importante, con más de 14 millones de instancias potencialmente vulnerables del servidor OpenSSH identificadas a través de búsquedas en Censys y Shodan. Los datos de Qualys revelan que aproximadamente 700,000 de estas están expuestas a internet, representando una parte significativa de su base de clientes global.

La explotación exitosa de ‘regreSSHion’ podría tener consecuencias devastadoras. Los ciberatacantes podrían obtener un compromiso completo del sistema, instalar malware, manipular datos y establecer puertas traseras backdoor para un acceso persistente. La capacidad de propagarse a través de redes y eludir mecanismos de seguridad hace que esta vulnerabilidad sea particularmente peligrosa para empresas e individuos.

Recomendaciones de mitigación

Para abordar la vulnerabilidad ‘regreSSHion’, las empresas deben adoptar un enfoque de seguridad enfocado y en capas:

1. Gestión de parches: aplicar lo antes posible los parches disponibles para OpenSSH y priorizar los procesos de actualización regular para asegurar que todos los sistemas estén protegidos.
2. Control de acceso mejorado: limitar el acceso SSH a través de controles basados en la red para minimizar los riesgos de ataque.
3. Segmentación de red y detección de intrusos: implementar la segmentación de red para restringir el acceso no autorizado y los movimientos laterales dentro de entornos críticos. Desplegar sistemas de detección de intrusos para monitorear y alertar sobre actividades inusuales indicativas de intentos de explotación.

Para obtener información técnica detallada sobre CVE-2024-6387, se recomienda consultar la documentación oficial proporcionada por Qualys aquí.

Más información:

• Parches para OpenSSH: https://www.qualys.com/regresshion-cve-2024-6387/
• Sobre OpenSSH: https://www.openssh.com/
• Documentación de Qualys sobre CVE-2024-6387: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
• Blog de Qualys: https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
• Boletín de seguridad de Debian: https://lists.debian.org/debian-security-announce/2024/msg00135.html
• Otras noticias:
  https://securityonline.info/leaf-linux-evidence-acquisition-framework/
  https://securityonline.info/cve-2024-6387-critical-openssh-unauthenticated-rce-flaw-regresshion-exposes-millions-of-linux-systems/
  https://www.bleepingcomputer.com/news/security/new-regresshion-openssh-rce-bug-gives-root-on-linux-servers/

Acerca de Hispasec

Hispasec Ha escrito 7093 publicaciones.

• View all posts by Hispasec →
• Blog