14 Millones de Servidores Vulnerables con OpenSSH: Conviértete en Administrador Remoto con CVE-2024-6387

Se ha descubierto una nueva vulnerabilidad crítica, identificada como CVE-2024-6387, en OpenSSH. Este fallo implica una condición de carrera en el manejador de señales que puede ser potencialmente explotada por atacantes para obtener acceso no autorizado o ejecutar código arbitrario.

OpenSSH: Una visión general

OpenSSH, o Open Secure Shell, es un conjunto de utilidades de red seguras basadas en el protocolo Secure Shell (SSH), que proporciona un canal seguro sobre una red no segura. Se utiliza ampliamente para el inicio de sesión remoto, la ejecución de comandos, la transferencia de archivos y los servicios de tunelización, asegurando comunicaciones encriptadas entre clientes y servidores.

Características clave de OpenSSH

Inicio de sesión remoto: Inicio de sesión seguro en sistemas remotos.
Tráfico encriptado: Todo el tráfico entre cliente y servidor está encriptado, evitando la interceptación y el secuestro de conexiones.
Integridad de datos: Garantiza la integridad y confidencialidad de los datos durante la transmisión.
Reenvío: Soporta reenvío TCP/IP y X11, permitiendo el reenvío seguro de puertos y sesiones de visualización.

Detalles de la vulnerabilidad

La vulnerabilidad radica en la forma en que el daemon sshd de OpenSSH maneja ciertas señales. Específicamente, ocurre una condición de carrera en el código de manejo de señales que puede ser desencadenada bajo ciertas condiciones. Esta condición de carrera puede llevar a la corrupción de memoria, permitiendo a un atacante manipular las asignaciones de memoria y potencialmente ejecutar código arbitrario.

El escenario de explotación implica interacciones cuidadosamente sincronizadas con el proceso sshd, aprovechando el código de manejo de señales para crear un estado donde las funciones de asignación de memoria (malloc, free) puedan ser manipuladas. Esta manipulación puede resultar en la ejecución de código malicioso o acceso no autorizado.

Vulnerabilidad de OpenSSH permite infectar servidores con virus como ransomware

Exposición generalizada: CVE-2024-6387

La vulnerabilidad CVE-2024-6387, también conocida como regreSSHion, ha expuesto un número significativo de instancias de servidores OpenSSH a potenciales explotaciones. Aquí están los hallazgos clave relacionados con esta vulnerabilidad:

Exposición generalizada: Se estima que más de 14 millones de instancias de servidores OpenSSH son potencialmente vulnerables y están expuestas a internet. Estas instancias son susceptibles a la ejecución de código remoto no autenticado (RCE), lo que podría permitir a los atacantes obtener control total sobre los sistemas afectados.
Gravedad: La vulnerabilidad puede ser explotada para lograr RCE, afectando particularmente a sistemas que ejecutan versiones de Linux basadas en glibc. Esto la convierte en una preocupación de seguridad crítica para las organizaciones que dependen de OpenSSH para comunicaciones remotas seguras.
Contexto histórico: El fallo ha sido denominado regreSSHion porque es una regresión de una vulnerabilidad anterior (CVE-2006-5051) que fue previamente parcheada. Esto resalta la importancia de la vigilancia continua y la gestión de parches en la seguridad del software.

Análisis técnico

El desglose técnico detallado proporcionado por Qualys destaca los pasos que los atacantes pueden tomar para explotar esta vulnerabilidad:

Manipulación del heap: Los atacantes pueden liberar un fragmento específico de memoria en una arena no principal, redirigiendo el puntero a la Tabla de Desplazamiento Global (GOT) de OpenSSH.
Sobrescritura de código: Sobrescribiendo la entrada para _exit() en la GOT con la dirección del shellcode, los atacantes pueden tomar el control del flujo de ejecución.
Estrategia de temporización: La explotación se basa en una sincronización precisa para interrumpir las operaciones de memoria, creando una situación donde los campos de memoria no inicializados pueden ser controlados por el atacante.

Versiones de OpenSSH afectadas por CVE-2024-6387

La vulnerabilidad crítica CVE-2024-6387 afecta a varias versiones de OpenSSH, principalmente aquellas lanzadas entre las versiones 8.5p1 y 9.7p1. Esta vulnerabilidad, una condición de carrera en el manejador de señales en el servidor (sshd) de OpenSSH, permite la ejecución de código remoto no autenticado potencial.

Versiones vulnerables: Versiones de OpenSSH desde 8.5p1 hasta 9.7p1.
Versiones anteriores: Las versiones anteriores a 4.4p1 también son vulnerables a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109.
Vulnerabilidad reciente: La condición de carrera en el sshd de OpenSSH ha hecho que numerosos sistemas sean susceptibles a potenciales ataques.

Impacto potencial de regreSSHion (CVE-2024-6387)

La vulnerabilidad conocida como “regreSSHion,” identificada como CVE-2024-6387, plantea riesgos significativos para los sistemas que ejecutan versiones afectadas de OpenSSH. Aquí están los impactos potenciales:

Ejecución remota de código (RCE)
- Naturaleza: El impacto más crítico de CVE-2024-6387 es la posibilidad de ejecución remota de código.
- Consecuencia: Los atacantes pueden ejecutar código arbitrario en los sistemas afectados, obteniendo potencialmente control total sobre el servidor. Esto puede llevar a acceso no autorizado, brechas de datos y explotación adicional.
Escalada de privilegios
- Naturaleza: La vulnerabilidad puede permitir a los atacantes escalar sus privilegios en el sistema comprometido.
- Consecuencia: Un atacante con acceso limitado podría explotar esta vulnerabilidad para obtener privilegios de root o administrativos, aumentando significativamente el daño potencial.
Compromiso del sistema
- Naturaleza: Una vez explotada, la vulnerabilidad podría llevar al compromiso completo del sistema afectado.
- Consecuencia: Esto incluye la posible instalación de malware, puertas traseras u otras herramientas maliciosas, que podrían ser utilizadas para explotar o controlar el sistema aún más.
Brecha de datos
- Naturaleza: Con acceso no autorizado, los atacantes pueden exfiltrar datos sensibles.
- Consecuencia: Esto podría resultar en la pérdida de información confidencial, propiedad intelectual y datos personales, llevando a daños financieros y reputacionales.
Interrupción del servicio
- Naturaleza: La explotación de la vulnerabilidad podría llevar a la interrupción de los servicios proporcionados por los sistemas afectados.
- Consecuencia: Esto puede impactar las operaciones comerciales, causar tiempo de inactividad y afectar la disponibilidad del servicio a usuarios y clientes.
Propagación de malware
- Naturaleza: Los sistemas comprometidos pueden ser utilizados como plataforma de lanzamiento para ataques adicionales.
- Consecuencia: Esto puede llevar a la propagación de malware dentro de una red, afectando más sistemas y expandiendo el alcance del ataque.

Mitigación y parches

Para mitigar los riesgos asociados con CVE-2024-6387, se deben tomar los siguientes pasos:

Parche y actualización: Asegurarse de que todos los sistemas que ejecutan versiones afectadas de OpenSSH estén actualizados a la última versión parcheada.
Monitoreo y auditoría: Monitorear y auditar regularmente los registros de acceso SSH en busca de actividad inusual.
Controles de acceso: Implementar controles de acceso fuertes y usar autenticación multifactor (MFA) para asegurar el acceso SSH.
Segmentación de red: Usar segmentación de red para limitar la exposición de los servicios SSH a posibles atacantes.
Mejores prácticas de seguridad: Seguir las mejores prácticas para asegurar SSH, incluyendo el uso de contraseñas fuertes y únicas y deshabilitar el inicio de sesión de root.

Jarvis Wagner

Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.

Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/

También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad

14 Millones de Servidores Vulnerables con OpenSSH: Conviértete en Administrador Remoto con CVE-2024-6387

OpenSSH: Una visión general

Características clave de OpenSSH

Detalles de la vulnerabilidad

Exposición generalizada: CVE-2024-6387

Análisis técnico

Versiones de OpenSSH afectadas por CVE-2024-6387

Impacto potencial de regreSSHion (CVE-2024-6387)

Mitigación y parches

Cómo implementar el principio de privilegio mínimo (seguridad en la nube) en la nube de AWS, Azure y GCP

Las 11 reglas esenciales de seguridad en la nube de Falco para proteger aplicaciones en contenedores sin costo

Cómo comprobar si una distro de Linux está comprometida por la puerta trasera XZ Utils en 6 pasos

La estrategia de gestión continua de exposición a amenazas CTEM paso a paso para AWS y AZURE

Malware PLC basado en web: una nueva técnica para hackear sistemas de control industrial

Seguridad API: 10 estrategias para mantener seguras las integraciones de API

Cómo robar la contraseña de Windows a través del correo de Outlook

CANAL DE NOTICIAS DE CIBERSEGURIDAD