regreSSHion: Vulnerabilidade no OpenSSH permite ataques de RCE em Sistemas Linux

Patch Tuesday Microsoft 118 vulnerabilidades

Os mantenedores do OpenSSH lançaram atualizações de segurança para conter uma falha crítica, chamada de regreSSHion, que poderia resultar em execução remota de código não autenticada com privilégios de root em sistemas Linux baseados em glibc. A vulnerabilidade foi identificada com o CVE-2024-6387 e reside no componente do servidor OpenSSH, também conhecido como sshd, projetado para ouvir conexões de aplicativos clientes.

“A vulnerabilidade, permite a execução remota de código (RCE) não autenticada como root em sistemas Linux baseados em glibc”, disse Bharat Jogi, diretor sênior da unidade de pesquisa de ameaças na Qualys. “Essa condição afeta o sshd em sua configuração padrão.”

A empresa afirmou ter identificado ao menos 14 milhões de instâncias potencialmente vulneráveis de servidores OpenSSH expostos à internet, acrescentando que se trata de uma regressão de uma falha já corrigida há 18 anos, rastreada como CVE-2006-5051, com o problema reinstaurado em outubro de 2020 como parte da versão 8.5p1 do OpenSSH.

“A exploração bem-sucedida foi demonstrada em sistemas Linux/glibc de 32 bits com randomização do layout do espaço de endereços (ASLR)”, disse OpenSSH em um comunicado. “Em condições de laboratório, o ataque requer em média 6-8 horas de conexões contínuas até o máximo que o servidor aceitará.”

A vulnerabilidade afeta versões entre 8.5p1 e 9.7p1. Versões anteriores à 4.4p1 também são vulneráveis ao bug da condição de corrida, a menos que estejam corrigidas para CVE-2006-5051 e CVE-2008-4109. Vale notar que sistemas OpenBSD não são afetados, pois incluem um mecanismo de segurança que bloqueia a falha.

Especificamente, a Qualys descobriu que, se um cliente não autenticar dentro de 120 segundos (um parâmetro definido por LoginGraceTime), o manipulador SIGALRM do sshd é chamado de forma assíncrona, de um modo que não é seguro para sinais assíncronos. O efeito da exploração do CVE-2024-6387 é o total comprometimento e tomada do sistema, permitindo que os atores de ameaças executem código arbitrário com os mais altos privilégios, subvertam mecanismos de segurança, roubem dados e até mantenham acesso persistente.

“Uma falha, uma vez corrigida, reapareceu em uma versão subsequente do software, geralmente devido a mudanças ou atualizações que reintroduziram inadvertidamente o problema”, disse Jogi. “Este incidente destaca o papel crucial dos testes de regressão minuciosos para evitar a reintrodução de vulnerabilidades conhecidas no ambiente.”

Embora a vulnerabilidade apresente obstáculos significativos devido à sua natureza, os usuários são recomendados a aplicar os patches mais recentes para se proteger contra ameaças potenciais. Também é aconselhável limitar o acesso SSH por meio de controles baseados em rede e aplicar segmentação de rede para restringir acessos não autorizados e movimentos laterais.

Quer amadurecer seu programa de segurança cibernética? Conheça a EcoTrust, uma plataforma CAASM (Cyber Asset Attack Surface Management) que transforma riscos cibernéticos em respostas confiáveis. Agende uma demo aqui

Este artigo foi criado com uso de inteligência artificial generativa e teve a curadoria da Equipe EcoTrust.

Compartilhe a postagem:

Posts relacionados

Assine nossa newsletter