Qualys ha rivelato una vulnerabilità critica in OpenSSH, avvertendo che su Internet sono esposti più di 14 milioni di server potenzialmente vulnerabili.
In un post sul blog pubblicato lunedì, Bharat Jogi, direttore senior della Qualys Threat Research Unit, ha dettagliato una vulnerabilità di esecuzione di codice remoto non autenticato, con riferimento a CVE-2024-6387, scoperta nel server OpenSSH su sistemi Linux basati su glibc. Qualys ha stabilito che CVE-2024-6387 è una regressione di una vulnerabilità precedentemente corretta, denominata CVE-2006-5051, e potrebbe consentire a un utente malintenzionato non autenticato di eseguire codice in remoto con privilegi radice.
OpenSSH è ampiamente utilizzato per crittografare e proteggere le comunicazioni come i trasferimenti di file, che negli ultimi anni sono diventati un obiettivo popolare per gli aggressori. Qualys descrive OpenSSH come uno “strumento cruciale per comunicazioni sicure”.
Tuttavia, ora ci sono preoccupazioni significative riguardo all’uso diffuso di OpenSSH. Qualys ha condotto una ricerca tramite Censys e Shodan che ha rivelato più di 14 milioni di server OpenSSH esposti su Internet potenzialmente vulnerabili a CVE-2024-6387, soprannominato “regreSSHion” dal fornitore.
“I dati anonimizzati di Qualys CSAM 3.0 con dati di gestione della superficie di attacco esterna rivelano che circa 700.000 istanze esterne esposte a Internet sono vulnerabili. Ciò rappresenta il 31% di tutte le istanze esposte a Internet con OpenSSH nella nostra base clienti globale”, ha scritto Bharat Jogi nel post sul blog.
Inoltre, secondo Bharat Jogi, oltre lo 0,14% delle istanze vulnerabili eseguono una versione di OpenSSH ormai fuori uso. Ha inoltre avvisato le aziende che CVE-2024-6387 influisce sulle versioni di OpenSSH precedenti alla 4.4p1 a meno che non vengano applicate le patch per CVE-2006-5051 e CVE-2008-4109.
L’applicazione delle patch è fondamentale perché Qualys ha scoperto che lo sfruttamento potrebbe portare alla compromissione completa del sistema e consentire a un utente malintenzionato di installare malware, manipolare dati e creare backdoor per mantenere un accesso persistente all’ambiente vittima.
“Inoltre, ottenere l’accesso root consentirebbe agli aggressori di aggirare meccanismi di sicurezza critici come firewall, sistemi di rilevamento delle intrusioni e meccanismi di registrazione, nascondendo ulteriormente le loro attività. Ciò potrebbe anche portare a significative violazioni dei dati, consentendo agli aggressori di accedere a tutti i dati archiviati nel sistema, comprese informazioni sensibili o proprietarie che potrebbero essere rubate e divulgate pubblicamente”, si legge nel post.
Buone notizie, tuttavia, secondo Qualys, la vulnerabilità è “difficile da sfruttare” e richiede diversi tentativi per sferrare un attacco riuscito. Inoltre, Bharat Jogi ha elogiato il track record “eccezionalmente forte” di OpenSSH nella sicurezza del software, nonostante il regreSSHion.
Test di regressione
Per Qualys, questa recente vulnerabilità evidenzia i problemi che possono sorgere quando i test di regressione non vengono eseguiti correttamente. CVE-2024-6387 è una regressione di CVE-2006-5051, che secondo Bharat Jogi indica generalmente che le modifiche o gli aggiornamenti apportati nelle versioni successive del software hanno involontariamente reintrodotto una vulnerabilità precedentemente corretta.
“Questo incidente evidenzia il ruolo fondamentale dei test di regressione approfonditi nel prevenire la reintroduzione di vulnerabilità note nell’ambiente. Questa regressione è stata introdotta nell’ottobre 2020 (OpenSSH 8.5p1)”, afferma il post.
Bharat Jogi ritiene probabile che la vulnerabilità esista anche su macchine macOS e Windows. Le aziende possono verificare eventuali tentativi di sfruttamento controllando i propri registri per più righe “Tempo prima dell’autenticazione”.
Inoltre, Qualys ha consigliato “urgentemente” alle aziende di applicare le patch. Sebbene la correzione faccia parte di un importante aggiornamento di OpenSSH, gli utenti possono aggiornare all’ultima versione rilasciata lunedì, ovvero 9.8p1, o applicare una correzione alle versioni precedenti.
Le note di rilascio di OpenSSH indicano che la versione con patch ha risolto la race condition nel server OpenSSH (sshd). Il progetto open source ha valutato il difetto come critico, sebbene al momento non sia stato assegnato alcun punteggio CVSS.
Sebbene OpenSSH abbia riconosciuto il successo dello sfruttamento di Qualys su sistemi Linux/glibc a 32 bit e abbia elogiato il fornitore per la scoperta, sembra che anche altre versioni potrebbero essere interessate.
“Il funzionamento su sistemi a 64 bit è considerato possibile ma al momento non è stato dimostrato. È probabile che questi attacchi verranno migliorati”, scrive OpenSSH nelle note di rilascio. “Lo sfruttamento su sistemi non glibc è concepibile ma non è stato esaminato. »
Jake Williams, un professionista della sicurezza informatica e membro della facoltà di ricerca IAN, ha notato in un post sui server x64. “Questo è importante perché trovare l’indirizzo giusto a cui tornare in x64 è esponenzialmente più difficile in x64 che in x86”, sottolinea.
