La Unidad de Investigación de Amenazas de Qualys (TRU) ha descubierto una vulnerabilidad de Ejecución Remota de Código sin Autenticación (RCE) en el servidor de OpenSSH (sshd) en sistemas Linux basados en glibc. La vulnerabilidad, identificada como CVE-2024-6387, representa un riesgo significativo de seguridad al permitir la ejecución de código remoto no autenticado como root en estos sistemas.
Esta vulnerabilidad, una condición de carrera en el controlador de señales en el servidor de OpenSSH, afecta a sshd en su configuración predeterminada. Según búsquedas realizadas con Censys y Shodan, se han identificado más de 14 millones de instancias potencialmente vulnerables del servidor OpenSSH expuestas a Internet. Los datos anónimos de Qualys CSAM 3.0 revelan que aproximadamente 700,000 instancias externas expuestas a Internet son vulnerables, representando el 31% de todas las instancias con OpenSSH en la base de clientes global.
Reaparición de una Vulnerabilidad Anterior
En nuestro análisis de seguridad, identificamos que esta vulnerabilidad es una regresión de la vulnerabilidad CVE-2006-5051, reportada en 2006. Esta reaparición implica que un defecto previamente corregido ha reaparecido en una versión posterior del software, generalmente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema. Esta regresión fue introducida en octubre de 2020 (OpenSSH 8.5p1).
Impacto Potencial de regreSSHion
Si se explota esta vulnerabilidad, podría conducir a un compromiso total del sistema, permitiendo a un atacante ejecutar código arbitrario con los más altos privilegios, lo que resultaría en la toma completa del sistema, instalación de malware, manipulación de datos y creación de puertas traseras para un acceso persistente. Además, podría facilitar la propagación a través de la red, permitiendo a los atacantes usar un sistema comprometido como punto de apoyo para explotar otros sistemas vulnerables dentro de la organización.
Pasos Inmediatos para Mitigar el Riesgo
Para abordar la vulnerabilidad regreSSHion en OpenSSH y prevenir la ejecución de código remoto en sistemas Linux, es necesario un enfoque de seguridad enfocado y escalonado. A continuación, se presentan pasos y recomendaciones estratégicas para que las empresas se protejan contra esta amenaza significativa:
- Gestión de Parches: Aplique rápidamente los parches disponibles para OpenSSH y priorice los procesos de actualización continua.
- Control de Acceso Mejorado: Limite el acceso SSH a través de controles basados en la red para minimizar los riesgos de ataque.
- Segmentación de Red y Detección de Intrusiones: Divida las redes para restringir el acceso no autorizado y los movimientos laterales dentro de entornos críticos, y despliegue sistemas que monitoreen y alerten sobre actividades inusuales indicativas de intentos de explotación.
Información Técnica y Cobertura de QID
Para obtener detalles técnicos sobre esta vulnerabilidad, visite:
Qualys está lanzando QIDs para esta vulnerabilidad, comenzando con la versión de vulnsigs VULNSIGS-2.6.83-4 y en la versión de manifiesto del Agente de la Nube Linux LX_MANIFEST-2.6.83.4-5.
Conclusión
La vulnerabilidad regreSSHion en OpenSSH subraya la importancia de mantener prácticas de seguridad rigurosas y estar al tanto de las actualizaciones críticas. La reaparición de un problema de seguridad resuelto previamente destaca la necesidad de pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas. Las empresas deben actuar rápidamente para parchear esta vulnerabilidad y proteger sus sistemas contra posibles ataques.
En un mundo cada vez más interconectado, garantizar la seguridad de las infraestructuras críticas es esencial para proteger tanto los datos como la continuidad operativa.