CVE-2024-6387: regreSSHion: Fallo de ejecución de código remota como root para servidores OpenSSH


#1

1. Introducción

El pasado 1 de julio se publicó release de seguridad por parte de OpenSSH, revisión 9.8 donde se corrigue un fallo grave que permite acceso root remoto sin credenciales.

https://www.openssh.com/txt/release-9.8

Según los mismos autores confirman que han podido reproducir el error para sistemas 32bits y que para sistemas 64bits (amd4 linux), todavía no se ha conseguido pero se creía posible.

Según el equipo detrás del descubrimiento “Qualys”, el fallo se produce por una condición de carrera que permite a usuarios no autenticados poder ejecutar de manera remota, código como root en sistemas Linux (basados en glibc, una librería nuclear sobre la que se monta todo el sistema de carga de binarios para estos sistemas, entre otras cosas).

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

“The vulnerability, which is a signal handler race condition in OpenSSH’s server (sshd), allows unauthenticated remote code execution (RCE) as root on glibc-based Linux systems; that presents a significant security risk. This race condition affects sshd in its default configuration.”

2. Sistemas afectados

El fallo es un bug reintroducido o no capturado por un test de regresión de manera que sólo afecta a sistemas nuevos como Ubuntu Jammy 22.04 LTS y Debian BookWorm 12.

Es algo conocido que fue resuelto en el pasado, hacia el 2006, pero debido a que no se introdujo un test de regresión, el fallo se ha “reintroducido”, esperemos que por error:

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

“In our security analysis, we identified that this vulnerability is a regression of the previously patched vulnerability CVE-2006-5051, which was reported in 2006. A regression in this context means that a flaw, once fixed, has reappeared in a subsequent software release, typically due to changes or updates that inadvertently reintroduce the issue. This incident highlights the crucial role of thorough regression testing to prevent the reintroduction of known vulnerabilities into the environment.”

3. Qué debo hacer

Pasos recomendados:

  1. Actualizar lo antes posible los paquetes openssh-server de la distribución. Para Debian y ubuntu, los comandos son:

    # apt-get update
    # apt-get install openssh-server

  2. Proteger el puerto 22/tcp (o donde esté localizado el ssh si está desplazado el puerto) con un firewall limitando la conexión a vpns, redes e ips conocidas.

    Este punto es realmente eficaz no solo para este fallo sino para cualquier otro pendiente por parchear o por descubrir.

4. Mis servidores están con ASPL

Todos los servidores bajo nuestra supervisión ya están parchados y están protegidos por firewall, limitando la superficie de ataque, dando una protección incrementada y un mayor margen de actuación.

5. Servidores Cloud Linux con administración y supervisión de seguridad

Cuenta con nosotros para llevar tus servidores, donde incluimos planes de administración, supervisión de seguridad y mantenimiento para todos ellos.

6. Referencias

  1. https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
  2. https://www.incibe.es/incibe-cert/alerta-temprana/avisos/regresshion-vulnerabilidad-rce-en-servidor-openssh
  3. https://www.openssh.com/txt/release-9.8
  4. https://ubuntu.com/security/CVE-2024-6387
  5. https://security-tracker.debian.org/tracker/CV
  6. https://unaaldia.hispasec.com/2024/07/cve-2024-6387-el-fallo-critico-regresshion-expone-a-millones-de-sistemas-linux-a-rce-no-autenticado.html