Sandro Sana: 1 julio 2024 16:47
Una vulnerabilidad crítica reciente en OpenSSH, identificada como CVE-2024-6387, podría permitir la ejecución remota de código no autenticado con privilegios de root en sistemas Linux basados en glibc. Esta falla reside en el componente del servidor OpenSSH (sshd) y se debe a una condición de carrera en el controlador de señales. La vulnerabilidad se reintrodujo en octubre de 2020 en la versión 8.5p1 de OpenSSH, solucionando parcialmente un problema de hace 18 años (CVE-2006-5051).
Detalles de vulnerabilidad
La vulnerabilidad afecta a las versiones de OpenSSH entre 8.5p1 y 9.7p1. Permite a los atacantes ejecutar código arbitrario con privilegios elevados, lo que resulta en un compromiso total del sistema. Este problema es particularmente relevante ya que hay aproximadamente 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestas en Internet.
Información sobre CVE-2024-6387
La vulnerabilidad CVE-2024-6387 es una condición de carrera en el controlador de señales OpenSSH, presente en las versiones 8.5p1-9.7p1. Una condición de carrera ocurre cuando la ejecución simultánea de procesos o subprocesos genera resultados inesperados, lo que en este caso permite a los atacantes ejecutar código arbitrario con privilegios de root sin autenticación. El problema se introdujo en 2020 y reabrió una antigua falla de 2006 (CVE-2006-5051).
Análisis técnico
Apoya a Red Hot Cyber a través de
La condición de carrera explota la forma en que OpenSSH maneja las señales de proceso, permitiendo a los atacantes manipular la ejecución del código. Los desarrolladores de OpenSSH han estado trabajando en parches para solucionar este problema y han lanzado actualizaciones críticas. Los administradores del sistema deben aplicar estas actualizaciones inmediatamente para proteger sus sistemas.
Métodos de explotación conocidos
Los atacantes pueden explotar CVE-2024-6387 utilizando cargas útiles específicas o exploits que manipulan la condición de carrera en las señales de proceso. Dichos métodos pueden incluir:
- Carga útil de escalada de privilegios: Un atacante podría enviar señales manipuladas de tal manera que ejecute código con privilegios de root.
- Guiones automatizados: Se pueden incluir exploits en scripts automatizados que ejecutan comandos maliciosos tan pronto como se activa la condición de carrera.
- Herramientas de prueba de penetración: Herramientas como Metasploit podrían incorporar módulos específicos para explotar esta vulnerabilidad, facilitando el ataque a piratas informáticos menos experimentados.
Implicaciones de seguridad
Esta vulnerabilidad es motivo de especial preocupación debido a la implementación generalizada de OpenSSH y la gravedad del impacto, que podría llevar a un compromiso total de los sistemas afectados. Los servidores expuestos a Internet corren un riesgo especial y se pide a la comunidad de seguridad que supervise cuidadosamente cualquier exploit en circulación.
Dáselo a Shodan
Según una investigación realizada utilizando el portal Shodan, actualmente hay 6.689 hosts en Internet con el puerto 22 expuesto y la versión vulnerable de OpenSSH_9.7p1. La distribución de estos hosts es la siguiente:
- Estados Unidos: 1.625
- Alemania: 1.097
- Francia: 441
- Rusia: 440
- Países Bajos: 311
- Chino: 241
- Reino Unido: 235
- Finlandia: 165
- Hong Kong: 137
- Japón: 136
- Canadá: 135
- Suecia: 126
- Singapur: 112
- Australia: 107
- Brasil: 100
- Suiza: 98
- Hungría: 98
- Polonia: 95
- Italia: 85
- India: 75
- España: 66
- Rumania: 65
Posibles implicaciones
Las implicaciones de seguridad para los sistemas con el puerto SSH abierto y expuesto al mundo son importantes:
- Compromiso del sistema: Los atacantes pueden obtener acceso de root, lo que les permite ejecutar cualquier comando, instalar malware o incluso eliminar datos.
- Botnets y ataques DDoS: Los sistemas comprometidos se pueden utilizar para crear botnets y lanzar ataques distribuidos de denegación de servicio (DDoS).
- Robo de datos: Los atacantes pueden acceder y robar datos confidenciales, incluidas credenciales, información financiera y datos personales.
- Amenaza persistente: Una vez comprometido, un sistema puede usarse como punto de entrada persistente para futuros ataques, tanto dentro de la red como hacia otras redes.
Recomendaciones de protección
- Actualizaciones de software: Asegúrese de actualizar a la última versión de OpenSSH disponible.
- Restricciones de acceso: Implemente reglas de firewall para limitar el acceso no autorizado a los servidores.
- Monitoreo continuo: Utilice sistemas de detección de intrusiones (IDS) para monitorear actividades sospechosas.
- Revisiones de seguridad: Realice auditorías de seguridad periódicas y pruebas de penetración para identificar y mitigar cualquier vulnerabilidad.
El descubrimiento de esta vulnerabilidad resalta la importancia crítica de la seguridad en el software de código abierto y la necesidad de vigilancia y mantenimiento constantes. Incidentes como este demuestran cómo pueden reaparecer vulnerabilidades antiguas, lo que requiere una atención continua por parte de los desarrolladores y administradores de sistemas.
Me ocupo de Tecnologías de la Información desde 1990, a lo largo de los años he trabajado con diferentes tipos de empresas, desde PYMES hasta Empresas y AP. Desde 2003 me interesa la comunicación, la PNL y la oratoria. En 2014 entré en el mundo de la Ciberseguridad y me especialicé en scouting e I+D de soluciones en el campo de la Ciberseguridad. CEH – Hacker Ético Certificado por el EC-Council, CIH EC-Council Certified Incident Handler, CISSP – Profesional Certificado en Seguridad de Sistemas de Información, ponente en SMAU 2017 y SMAU 2018, profesor SMAU Academy & ITS, miembro de la Professional IT Association desde 2017 y Coordinador de la región Friuli-Venezia Giulia para AIP-ITCS. Miembro de CLUSIT y periodista en RedHot Cyber, Cybersecurity360 & Digital360.
Visita el sitio web del autor.
