regreSSHion: rilevata vulnerabilità relativa a OpenSSH (AL01/240702/CSIRT-ITA)

Sintesi

È stata recentemente rilevata la vulnerabilità CVE-2024-6387 che interessa OpenSSH, software per la creazione di sessioni di comunicazione crittografate tramite il protocollo Secure Shell. Tale vulnerabilità – correlata alla CVE-2006-5051 – potrebbe consentire a un utente malintenzionato remoto l’esecuzione di codice arbitrario sui dispositivi interessati.

Note: un Proof of Concept (PoC) per lo sfruttamento della vulnerabilità risulta disponibile in rete

Rischio

Stima d’impatto della vulnerabilità sulla comunità di riferimento: GRAVE/ROSSO (77,05/100)¹.

Tipologia

• Remote Code Execution

Descrizione e potenziali impatti

I ricercatori di sicurezza di Qualys hanno recentemente rilevato una vulnerabilità, di tipo “Unauthenticated Remote Code Execution” che interessa i server OpenSSH (sshd) sulle distribuzioni Linux che utilizzano la libreria GNU C Library (glibc) come interfaccia tra il kernel del sistema operativo e le applicazioni utente (glibc-based).

Tale vulnerabilità – denominata “regreSSHion” poiché deriva dalla reintroduzione di una criticità risolta tramite la CVE-2006-5051 – è dovuta ad una condizione di “race condition” nel gestore del segnale SIGALRM di sshd che potrebbe permettere a più processi l’accesso e la manipolazione di risorse condivise in maniera non controllata.

L’eventuale sfruttamento di tale vulnerabilità, dovuta all’esecuzione di codice da remoto con i massimi privilegi (root), potrebbe comportare l’eventuale bypass dei meccanismi di sicurezza – quali firewall, IDS e meccanismi di log – ed il conseguente accesso non autorizzato ad informazioni sensibili presenti sulle reti target.

Prodotti e versioni affette

OpenSSH, versioni dalla 8.5p1 alla 9.7p1

Azioni di mitigazione

Si raccomanda di aggiornare tempestivamente i prodotti vulnerabili all’ultima versione disponibile.

Si evidenzia inoltre che le versioni precedenti alla 4.4p1 sono vulnerabili qualora non siano state applicate le patch per le CVE-2006-5051 e CVE-2008-4109.

Identificatori univoci vulnerabilità

CVE-2024-6387

Riferimenti

https://www.qualys.com/regresshion-cve-2024-6387

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

https://www.openssh.com/releasenotes.html#9.8p1

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.