Ciertas versiones del paquete de redes seguras OpenSSH son susceptibles a una nueva vulnerabilidad que puede desencadenar la ejecución remota de código (RCE).
La vulnerabilidad, identificada como CVE-2024-6409 (puntuación CVSS: 7.0), es independiente de CVE-2024-6387 (también conocida como RegreSSHion) y afecta a un caso de ejecución de código en el proceso infantil privado debido a una condición de carrera en el manejo de señales. Esto sólo afecta a las versiones 8.7p1 y 8.8p1 enviadas con Red Hat Enterprise Linux 9.
Al investigador de seguridad Alexander Peslyak, conocido bajo el seudónimo de Solar Designer, se le atribuyó el descubrimiento y el informe del error, que se descubrió durante una revisión de CVE-2024-6387 después de que Qualys revelara este último a principios de este mes.
“La principal diferencia con CVE-2024-6387 es que la condición de carrera y el RCE potencial se activan en el proceso hijo privsep, que se ejecuta con privilegios reducidos en comparación con el proceso del servidor padre”, explica Peslyak. dicho.
“Por tanto, el impacto inmediato es menor. Sin embargo, puede haber diferencias en la explotabilidad de estas vulnerabilidades en un escenario particular, lo que podría hacer que cualquiera de las vulnerabilidades sea una opción más atractiva para un atacante, y si solo una de estas vulnerabilidades se corrige o atenúa, la otra se vuelve más relevante. »
Sin embargo, cabe señalar que la vulnerabilidad de condición de carrera del controlador de señal es la misma que CVE-2024-6387, donde si un cliente no se autentica dentro de los segundos de LoginGraceTime (120 de forma predeterminada), el controlador SIGALRM del proceso del demonio OpenSSH se llama de forma asíncrona. , que luego invoca varias funciones que no son seguras para señales asincrónicas.
“Este problema lo hace vulnerable a una condición de carrera del controlador de señales en la función cleanup_exit(), que introduce la misma vulnerabilidad que CVE-2024-6387 en el hijo sin privilegios del servidor SSHD”, según el descripción de la vulnerabilidad.
“Como resultado de un ataque exitoso, en el peor de los casos, el atacante podría realizar una ejecución remota de código (RCE) dentro de un usuario sin privilegios que ejecute el servidor sshd. »
Desde entonces se ha implementado un exploit activo para CVE-2024-6387. detectado en la naturaleza, con un actor de amenazas desconocido apuntando a servidores ubicados principalmente en China.
“El vector inicial de este ataque proviene de la dirección IP 108.174.58[.]28que albergaría un directorio que enumera herramientas de explotación y scripts para automatizar la explotación de servidores SSH vulnerables”, dijo la firma israelí de ciberseguridad Veriti. dicho.