Nueva vulnerabilidad de OpenSSH expone sistemas a posibles ataques RCE

Se ha descubierto una nueva vulnerabilidad de seguridad en algunas versiones de la suite de redes seguras OpenSSH, que puede potencialmente desencadenar la ejecución remota de código (RCE) en los sistemas afectados.

La vulnerabilidad, rastreada como CVE-2024-6409 (puntuación CVSS: 7.0), afecta solo a las versiones 8.7p1 y 8.8p1, específicamente, las que se enviaron con Red Hat Enterprise Linux 9, así como sus correspondientes versiones portátiles.

Se conecta a un caso de posible ejecución remota de código dentro del proceso hijo de separación de privilegios (privsep) debido a una condición de carrera en el manejo de señales.

“Se encontró una vulnerabilidad de condición de carrera en el manejador de señales del servidor de OpenSSH (sshd), donde un cliente no se autentica dentro de los segundos de LoginGraceTime (120 por defecto, 600 en versiones antiguas de OpenSSH), entonces el manejador SIGALRM de sshd se llama de manera asíncrona. Sin embargo, este manejador de señales llama a varias funciones que no son seguras para señales asíncronas, por ejemplo, syslog(). Este problema lo deja vulnerable a una condición de carrera en el manejador de señales en la función cleanup_exit(), que introduce la misma vulnerabilidad que CVE-2024-6387 en el hijo no privilegiado del servidor SSHD”, dice la descripción de la vulnerabilidad.

El investigador de seguridad Alexander Peslyak, que usa el alias Solar Designer, descubrió e informó sobre la vulnerabilidad durante una revisión exhaustiva de CVE-2024-6387, también conocido como RegreSSHion, que fue divulgado por Qualys a principios de este mes.

“Las versiones de OpenSSH 8.7 y 8.8 llaman a cleanup_exit() desde grace_alarm_handler() cuando operan en el proceso hijo privsep. cleanup_exit() no fue originalmente destinado a ser invocado desde un manejador de señales y puede desencadenar otras funciones no seguras para señales asíncronas”, dice Solar Designer en su aviso.

La principal diferencia con CVE-2024-6387 es que la condición de carrera y el potencial de RCE se inician en el proceso hijo privsep, que opera con privilegios limitados en comparación con el proceso del servidor padre. Aunque el impacto inmediato es menor, la explotabilidad y las implicaciones de CVE-2024-6409 aún representan un riesgo significativo.

“Si solo se corrige o mitiga una de estas vulnerabilidades, la otra se vuelve más relevante”, explica Solar Designer. Ambas vulnerabilidades pueden ser mitigadas con la configuración ‘LoginGraceTime 0’, mientras que la mitigación “-e” funciona solo contra CVE-2024-6387 y no (completamente) contra CVE-2024-6409.

Aunque la vulnerabilidad CVE-2024-6409 presenta un riesgo inmediato menor, aún se recomienda tomar medidas inmediatas para mitigar los riesgos asociados con ella, tales como:

2. Asegurarse de que todas las instalaciones del servidor OpenSSH afectadas estén actualizadas con los últimos parches.

3. Revisar y potencialmente ajustar la configuración de LoginGraceTime en las configuraciones de SSH a ‘0’ para ayudar a prevenir la explotación de esta y vulnerabilidades similares.

4. Aumentar la supervisión de actividades inusuales en los servidores SSH, particularmente intentos de autenticación fallidos y manejo de señales dentro del demonio SSH.

5. Implementación de medidas de seguridad adicionales en la red para restringir el acceso a los servidores SSH.