Afectaciones en sistemas de Linux ante la vulnerabilidad de CVE-2024-6387

El siguiente informe tiene como objetivo la notificación de actividad relacionada a la Vulnerabilidad “CVE-2024-6387” la cual deja a millones de sistemas Linux vulnerables a la ejecución remota de código.

La vulnerabilidad CVE-2024-6387, también conocida como regreSSHion, afecta al servidor OpenSSH (sshd) en sistemas Linux basados en glibc. Permite a los atacantes no autenticados obtener acceso root y potencialmente tomar el control completo de las máquinas afectadas.

Cuando un cliente no se autentica dentro de los segundos LoginGraceTime (120 segundos de forma predeterminada, 600 en versiones anteriores de OpenSSH), el controlador SIGALRM se llama de forma asíncrona. Sin embargo, este manejador de señales invoca varias funciones que no son seguras para señales asíncronas, como syslog(), que a su vez llama a funciones inseguras como malloc() y free().

La vulnerabilidad afecta a sshd en su configuración predeterminada y “no requiere la interacción del usuario”. Esta condición de carrera es particularmente preocupante, ya que permite la ejecución remota de código no autenticado como root, otorgando a los atacantes un control total sobre los sistemas afectados.

Esta falla está presente en siguientes versiones de OpenSSH de Linux:

1. Las versiones de OpenSSH anteriores a 4.4p1 son vulnerables a esta condición de carrera del controlador de señales a menos que estén revisadas para CVE-2006-5051 y CVE-2008-4109.

2. Las versiones desde 4.4p1 hasta, pero sin incluir, 8.5p1 no son vulnerables debido a un parche transformador para CVE-2006-5051, que hizo que una función que antes no era segura.

3. La vulnerabilidad resurge en versiones desde 8.5p1 hasta, pero sin incluir, 9.8p1 debido a la eliminación accidental de un componente crítico en una función.

4. Además de esto se identificó que esta vulnerabilidad es una regresión de la vulnerabilidad CVE-2006-5051 ("Signal handler race condition" en OpenSSH anterior a 4.4 permite a atacantes remotos causar una denegación de servicio (crash) y posiblemente ejecutar código arbitrario"), previamente parcheada, reportada en 2006.

Una regresión en este contexto significa que un defecto, una vez corregido, ha reaparecido en una versión de software posterior, normalmente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema. Este incidente pone de relieve el papel crucial de las pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el entorno.

Los propios revelan que aproximadamente 700.000 de ellos están expuestos a Internet, lo que representa una parte significativa de su base global de clientes.

La explotación exitosa de regreSSHion podría tener consecuencias devastadoras. Los atacantes podrían comprometer todo el sistema, instalando malware, manipulando datos y estableciendo puertas traseras para el acceso persistente. La capacidad de propagarse a través de las redes y eludir los mecanismos de seguridad hace que esta vulnerabilidad sea particularmente peligrosa tanto para las empresas como para los individuos.

Si bien la vulnerabilidad es difícil de explotar debido a su naturaleza de condición de carrera remota, que requiere múltiples intentos para un ataque exitoso, los avances en el aprendizaje profundo podrían aumentar significativamente las tasas de explotación.

Recomendaciones de prevención ante CVE-2024-6387

• Deshabilitar el logueo root.

• Añadir el acceso condicional por llave ssh key.

• Desactivar el inicio de sesión de root a través de SSH: Esto evitará que un atacante que explote la vulnerabilidad obtenga acceso de root al sistema.

• Utilizar la autenticación de dos factores: Esto agrega una capa adicional de seguridad al inicio de sesión SSH, requiriendo que los usuarios proporcionen un código de verificación además de su contraseña.

• Limite el acceso al servidor SSH: Restrinja el acceso al servidor SSH solo a los usuarios que realmente lo necesitan. Esto se puede hacer usando firewalls o listas de control de acceso (ACL). Supervise su servidor SSH en busca de actividades sospechosas: Esto puede ayudarlo a detectar y responder a intentos de explotación de manera oportuna.

Asimismo, con fines de robustecimiento, se permeo el comportamiento previo descrito en una regla YARA la cual busca que sea implementada a SIEM encargados del monitoreo de la infraestructura de servidores que pudiesen recaer en la amplia superficie de ataque ante esta vulnerabilidad.

Title: RCE in OpenSSH server (CVE-2024-6387)

Description: Detects potential exploit attempts for CVE-2024-6387 in OpenSSH server on glibc-based Linux systems.

Solo relevante para sistemas Linux glibc-based condition:

  - os: linux

  - (kernel.name OR hostname) !~ /^(android|darwin|freebsd|netbsd|openbsd|solaris|hpux|aix|ios|watchos|tvos)$/

# Busca funciones llamdas en relación al CVE-2024-6387

logsource:

  category: process

  process_name:

    - sshd

    - ssh

logformat:

  message: /^(?:.*recvfrom|.*read).*?(0x[0-9a-f]{16})/

detection:

  all_of:

    - condition: user.name != "root"  # Not likely root causing the issue

    - condition: logsource.process_name == "sshd"

CVE website. (s/f). Cve.org. Recuperado el 1 de julio de 2024, de https://www.cve.org/CVERecord?id=CVE-2024-6387

cve-details. (s/f). Redhat.com. Recuperado el 1 de julio de 2024, de https://access.redhat.com/security/cve/CVE-2024-6387

Nvd - cve-2006-5051. (s/f). Nist.gov. Recuperado el 1 de julio de 2024, de https://nvd.nist.gov/vuln/detail/CVE-2006-5051

Son, D. (2024, julio 1). CVE-2024-6387: Critical OpenSSH unauthenticated RCE flaw “regreSSHion” exposes millions of Linux systems. Cybersecurity News; do son. https://securityonline.info/cve-2024-6387-critical-openssh-unauthenticated-rce-flaw-regresshion-exposes-millions-of-linux-systems/

(S/f). Qualys.com. Recuperado el 1 de julio de 2024, de https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

Responding to A suspicious device. (2019, agosto 15).