Nuova vulnerabilità OpenSSH – .

Sandro Sana : 1 luglio 2024 16:47

Una recente vulnerabilità critica in OpenSSH, identificata come CVE-2024-6387, potrebbe consentire l’esecuzione di codice remoto non autenticato con privilegi di root su sistemi Linux basati su glibc. Questo difetto risiede nel componente server OpenSSH (sshd) ed è dovuto a una condizione di gara nel gestore del segnale. La vulnerabilità è stata reintrodotta nell’ottobre 2020 in OpenSSH versione 8.5p1, risolvendo parzialmente un problema vecchio di 18 anni (CVE-2006-5051).

Dettagli sulla vulnerabilità

La vulnerabilità riguarda le versioni di OpenSSH tra 8.5p1 e 9.7p1. Consente agli aggressori di eseguire codice arbitrario con privilegi elevati, con conseguente compromissione completa del sistema. Questo problema è particolarmente rilevante in quanto ci sono circa 14 milioni di istanze di server OpenSSH potenzialmente vulnerabili esposte su Internet.

Approfondimenti su CVE-2024-6387

CVE-2024-6387 è una vulnerabilità di race condition nel gestore di segnali OpenSSH, presente nelle versioni 8.5p1-9.7p1. Una race condition si verifica quando l’esecuzione simultanea di processi o thread porta a risultati inaspettati, in questo caso consentendo agli aggressori di eseguire codice arbitrario con privilegi di root senza autenticazione. Il problema è stato introdotto nel 2020 e ha riaperto un vecchio difetto del 2006 (CVE-2006-5051).

Analisi tecnica

La condizione di gara sfrutta il modo in cui OpenSSH gestisce i segnali di processo, consentendo agli aggressori di manipolare l’esecuzione del codice. Gli sviluppatori di OpenSSH hanno lavorato su patch per risolvere questo problema, rilasciando aggiornamenti critici. Gli amministratori di sistema dovrebbero applicare questi aggiornamenti immediatamente per proteggere i loro sistemi.

Metodi di exploit noti

Gli aggressori possono sfruttare CVE-2024-6387 utilizzando payload specifici o exploit che manipolano le condizioni di gara nei segnali di processo. Tali metodi possono includere:

1. Payload di escalation dei privilegi: Un aggressore potrebbe inviare segnali manipolati per eseguire codice con privilegi di root.
2. Script automatizzati: Gli exploit possono essere inclusi in script automatizzati che eseguono comandi dannosi non appena viene attivata la condizione di competizione.
3. Strumenti per test di penetrazione: Strumenti come Metasploit potrebbero incorporare moduli specifici per sfruttare questa vulnerabilità, facilitando l’attacco anche da parte di hacker meno esperti.

Implicazioni sulla sicurezza

Questa vulnerabilità è particolarmente preoccupante a causa dell’uso diffuso di OpenSSH e della gravità dell’impatto, che potrebbe portare alla completa compromissione dei sistemi interessati. I server esposti a Internet sono particolarmente a rischio e la comunità della sicurezza è invitata a monitorare attentamente qualsiasi exploit che potrebbe essere in circolazione.

Dallo a Shodan

Secondo la ricerca condotta tramite il portale Shodan, ci sono attualmente 6.689 host su Internet con la porta 22 esposta e la versione vulnerabile di OpenSSH_9.7p1. La distribuzione di questi host è la seguente:

• Stati Uniti: 1.625
• Germania: 1.097
• Francia: 441
• Russia: 440
• Paesi Bassi: 311
• Cinese: 241
• Regno Unito: 235
• Finlandia: 165
• Hong Kong: 137
• Giappone: 136
• Canada: 135
• Svezia: 126
• Singapore: 112
• Australia: 107
• Brasile: 100
• Svizzera: 98
• Ungheria: 98
• Polonia: 95
• Italia: 85
• India: 75
• Spagna: 66
• Romania: 65

Possibili conseguenze

Le implicazioni di sicurezza per i sistemi con la porta SSH aperta ed esposta al mondo sono significative:

• Compromissione del sistema: Gli aggressori possono ottenere l’accesso root, il che consente loro di eseguire qualsiasi comando, installare malware o persino eliminare dati.
• Botnet e attacchi DDoS: I sistemi compromessi possono essere utilizzati per creare botnet e lanciare attacchi DDoS (Distributed Denial-of-Service).
• Furto di dati: Gli aggressori possono accedere a dati sensibili, tra cui credenziali, informazioni finanziarie e dati personali, e rubarli.
• Minaccia persistente: Una volta compromesso, un sistema può essere utilizzato come punto di ingresso persistente per ulteriori attacchi, sia all’interno della rete che verso altre reti.

Raccomandazioni per la protezione

1. Aggiornamenti software: Assicuratevi di eseguire l’aggiornamento all’ultima versione disponibile di OpenSSH.
2. Limitazioni di accesso: Implementa regole firewall per limitare l’accesso non autorizzato ai tuoi server.
3. Monitoraggio continuo: Utilizzare sistemi di rilevamento delle intrusioni (IDS) per monitorare attività sospette.
4. Controlli di sicurezza: Eseguire regolarmente audit di sicurezza e test di penetrazione per identificare e mitigare eventuali vulnerabilità.

La scoperta di questa vulnerabilità evidenzia l’importanza critica della sicurezza nel software open source e la necessità di vigilanza e manutenzione costanti. Incidenti come questo dimostrano come vecchie vulnerabilità possano riemergere, richiedendo un’attenzione continua da parte di sviluppatori e amministratori di sistema.