Une nouvelle vulnérabilité d'exécution de code à distance (RCE) non authentifiée OpenSSH baptisée « regreSSHion » donne les privilèges root sur les systèmes Linux basés sur la glibc.
OpenSSH est une suite d'utilitaires réseau basés sur le protocole Secure Shell (SSH). Il est largement utilisé pour la connexion à distance sécurisée, la gestion et l'administration de serveurs à distance et les transferts de fichiers via SCP et SFTP.
La faille, découverte par chercheurs de Qualys en mai 2024, et qui lui a attribué l'identifiant CVE-2024-6387, est dû à une condition de concurrence critique du gestionnaire de signal dans sshd qui permet à des attaquants distants non authentifiés d'exécuter du code arbitraire en tant que root.
« Si un client ne s'authentifie pas dans les secondes LoginGraceTime (120 par défaut), alors le gestionnaire SIGALRM de sshd est appelé de manière asynchrone et appelle diverses fonctions qui ne sont pas sécurisées pour les signaux asynchrones », explique un Bulletin de sécurité Debian.
« Un attaquant distant non authentifié peut profiter de cette faille pour exécuter du code arbitraire avec des privilèges root. »
L’exploitation de regreSSHion peut avoir de graves conséquences pour les serveurs ciblés, pouvant conduire à une prise de contrôle complète du système.
« Cette vulnérabilité, si elle est exploitée, pourrait conduire à une compromission totale du système, où un attaquant pourrait exécuter du code arbitraire avec les privilèges les plus élevés, ce qui entraînerait une prise de contrôle complète du système, l'installation de logiciels malveillants, la manipulation des données et la création de portes dérobées pour un accès permanent. Elle pourrait faciliter la propagation du réseau, permettant aux attaquants d'utiliser un système compromis comme point d'appui pour traverser et exploiter d'autres systèmes vulnérables au sein de l'organisation. »
❖Qualys
Malgré la gravité de la faille, Qualys affirme que regreSSHion est difficile à exploiter et nécessite plusieurs tentatives pour obtenir la corruption de mémoire nécessaire.
Cependant, il est à noter que les outils d’IA peuvent être utilisés pour surmonter les difficultés pratiques et augmenter le taux d’exploitation réussie.
Qualys a également publié une version plus rédaction technique qui approfondit le processus d’exploitation et les stratégies d’atténuation potentielles.
Atténuer la régression
La faille regreSSHion affecte les serveurs OpenSSH sur Linux à partir de la version 8.5p1 jusqu'à, mais sans inclure, la version 9.8p1.
Les versions 4.4p1 jusqu'à 8.5p1, mais sans l'inclure, ne sont pas vulnérables à CVE-2024-6387 grâce à un correctif pour CVE-2006-5051, qui a sécurisé une fonction auparavant non sécurisée.
Les versions antérieures à 4.4p1 sont vulnérables à regreSSHion à moins qu'elles ne soient corrigées pour CVE-2006-5051 et CVE-2008-4109.
Qualys note également que les systèmes OpenBSD ne sont pas impactés par cette faille grâce à un mécanisme sécurisé introduit dès 2001.
Les chercheurs en sécurité notent également que même si regreSSHion existe probablement également sur macOS et Windows, son exploitabilité sur ces systèmes n'a pas été confirmée. Une analyse distincte est nécessaire pour déterminer si ces systèmes d’exploitation sont vulnérables.
Pour traiter ou atténuer la vulnérabilité regreSSHion dans OpenSSH, les actions suivantes sont recommandées :
- Appliquez la dernière mise à jour disponible pour le serveur OpenSSH (version 9.8p1), qui corrige la vulnérabilité.
- Limitez l'accès SSH à l'aide de contrôles basés sur le réseau tels que des pare-feu et implémentez la segmentation du réseau pour empêcher les mouvements latéraux.
- Si le serveur OpenSSH ne peut pas être mis à jour immédiatement, définissez « LoginGraceTime » sur 0 dans le fichier de configuration sshd, mais notez que cela peut exposer le serveur à des attaques par déni de service.
Les analyses de Shodan et Censys révèlent plus de 14 millions de serveurs OpenSSH exposés à Internet, mais Qualys a confirmé un statut vulnérable pour 700 000 instances sur la base de ses données CSAM 3.0.