Fecha de la noticia: 2024-07-04
¡Atención a todos los amantes de la ciberseguridad! Prepárense para sumergirse en el fascinante y peligroso mundo de las vulnerabilidades en el servidor OpenSSH. En un emocionante giro, los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla que podría resultar en ejecución remota de código sin autenticación. ¿Estás listo para descubrir más sobre esta intrigante vulnerabilidad y cómo protegerte? ¡Sigue leyendo para adentrarte en este emocionante mundo de la seguridad informática!
¿Qué medidas de seguridad se recomiendan para protegerse contra la vulnerabilidad CVE-2024-6387 en OpenSSH?
Para protegerse contra la vulnerabilidad CVE-2024-6387 en OpenSSH, se recomienda aplicar los últimos parches de seguridad y realizar pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Además, es aconsejable limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Aunque la explotación de esta vulnerabilidad tiene obstáculos significativos, se aconseja a los usuarios tomar medidas proactivas para protegerse contra posibles amenazas.
Actualización de seguridad para contener una grave falla en sistemas Linux
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy.
Vulnerabilidad regreSSHion: ejecución remota de código como root en sistemas Linux
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Impacto de la vulnerabilidad en servidores OpenSSH
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Identificación y exposición de servidores OpenSSH vulnerables
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Condiciones de laboratorio para la explotación de la vulnerabilidad
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Versiones afectadas y previas vulnerabilidades en sistemas OpenSSH
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Debilidad de seguridad en macOS y Windows por confirmar
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Compromisión completa del sistema por explotación de la vulnerabilidad
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para abordar una grave falla de seguridad que permite la ejecución remota de código en sistemas Linux basados en glibc sin autenticación de root. La vulnerabilidad, conocida como regreSSHion, reside en el componente del servidor OpenSSH, permitiendo la ejecución remota de código no autenticado como root. La explotación exitosa de esta vulnerabilidad puede resultar en una compromisión completa del sistema, lo que destaca la importancia de aplicar los últimos parches de seguridad para protegerse contra posibles amenazas. Además, se recomienda limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para prevenir el acceso no autorizado y el movimiento lateral.
Importancia de pruebas exhaustivas de regresión para prevenir vulnerabilidades
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Recomendaciones para protegerse contra posibles amenazas
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Poco probable explotación generalizada de la vulnerabilidad
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Factores que evitan la explotación masiva de la vulnerabilidad
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
Naturaleza específica de la condición de carrera y su explotación
Los mantenedores de OpenSSH han lanzado actualizaciones de seguridad para contener una grave falla de seguridad que podría resultar en ejecución remota de código sin autenticación con privilegios de root en sistemas Linux basados en glibc. La vulnerabilidad, codificada como regreSSHion, ha sido asignada el identificador CVE CVE-2024-6387. Reside en el componente del servidor OpenSSH, también conocido como sshd, que está diseñado para escuchar conexiones de cualquiera de las aplicaciones cliente. La vulnerabilidad, que es una condición de carrera del manejador de señales en el servidor OpenSSH (sshd), permite la ejecución remota de código no autenticado (RCE) como root en sistemas Linux basados en glibc, dijo Bharat Jogi, director senior de la unidad de investigación de amenazas en Qualys, en una divulgación publicada hoy. Esta condición de carrera afecta a sshd en su configuración por defecto. La firma de ciberseguridad dijo que identificó no menos de 14 millones de instancias de servidores OpenSSH potencialmente vulnerables expuestos a Internet, añadiendo que es una regresión de una falla ya parcheada de 18 años rastreada como CVE-2006-5051, con el problema reinstalado en octubre de 2020 como parte de la versión de OpenSSH 8.5p1. La explotación exitosa se ha demostrado en sistemas Linux/glibc de 32 bits con [aleatorización de diseño de espacio de direcciones], dijo OpenSSH en un aviso. En condiciones de laboratorio, el ataque requiere en promedio de 6 a 8 horas de conexiones continuas hasta el máximo que el servidor aceptará. La vulnerabilidad afecta a las versiones entre 8.5p1 y 9.7p1. Las versiones anteriores a la 4.4p1 también son vulnerables al error de condición de carrera a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109. Cabe señalar que los sistemas OpenBSD no se ven afectados ya que incluyen un mecanismo de seguridad que bloquea la falla. Es probable que la debilidad de seguridad también afecte a macOS y Windows, aunque su explotabilidad en estas plataformas sigue sin confirmarse y requiere más análisis. Específicamente, Qualys descubrió que si un cliente no se autentica en 120 segundos (una configuración definida por LoginGraceTime), entonces el manejador SIGALRM de sshd se llama de forma asíncrona de una manera que no es segura para las señales asíncronas. El efecto neto de explotar CVE-2024-6387 es una compromisión completa del sistema y toma de control, permitiendo a actores de amenazas ejecutar código arbitrario con los privilegios más altos, subvertir mecanismos de seguridad, robo de datos e incluso mantener acceso persistente. Una falla, una vez corregida, ha vuelto a aparecer en una versión de software posterior, típicamente debido a cambios o actualizaciones que reintroducen inadvertidamente el problema, dijo Jogi. Este incidente destaca el papel crucial de pruebas exhaustivas de regresión para prevenir la reintroducción de vulnerabilidades conocidas en el entorno. Aunque la vulnerabilidad tiene obstáculos significativos debido a su naturaleza de condición de carrera remota, se recomienda a los usuarios aplicar los últimos parches para protegerse contra posibles amenazas. También se aconseja limitar el acceso SSH a través de controles basados en la red y hacer cumplir la segmentación de la red para restringir el acceso no autorizado y el movimiento lateral. Las firmas de ciberseguridad Palo Alto Networks Unit 42 y Wiz han dicho que es poco probable que la vulnerabilidad sea objeto de una explotación generalizada u oportunista, dado que un atacante debe saber de antemano a qué distribución de Linux están apuntando para construir un exploit funcional. Otro factor que probablemente evite que sea explotado masivamente es el hecho de que el ataque puede llevar hasta ocho horas en completarse y requerir hasta 10,000 pasos de autenticación, como señaló Kaspersky, aunque no descarta la posibilidad de una explotación altamente dirigida. La naturaleza específica de la condición de carrera y su explotación requieren un número significativo de intentos para lograr una ejecución exitosa, con tasas de éxito variables dependiendo de la versión y el entorno, dijo Oligo. ¿Encontró interesante este artículo? Síganos en Twitter y LinkedIn para leer más contenido exclusivo que publicamos.
En resumen, la vulnerabilidad CVE-2024-6387 en OpenSSH representa una grave amenaza para los sistemas Linux basados en glibc, permitiendo la ejecución remota de código sin autenticación. Aunque se han lanzado parches de seguridad, es crucial que los usuarios los apliquen de inmediato para protegerse contra posibles ataques. Además, es recomendable restringir el acceso SSH y aplicar controles basados en la red para prevenir el movimiento lateral no autorizado. A pesar de los obstáculos que presenta su explotación, es importante permanecer vigilantes y estar al tanto de las últimas actualizaciones de seguridad para garantizar la protección de los sistemas.
Fuente: Nueva vulnerabilidad de OpenSSH podría permitir RCE como root en sistemas Linux.