RegreSSHion: attenzione alla vulnerabilità di OpenSSH difficile da sfruttare ma molto pericolosa

Si tratta della reintroduzione di una vulnerabilità precedentemente risolta, avvenuta nel 2020 a causa di una modifica del codice. Se opportunamente sfruttata può consentire l'esecuzione di codice da remoto e il controllo completo del sistema preso di mira
di Andrea Bai pubblicata il 03 Luglio 2024, alle 11:02 nel canale SicurezzaI ricercatori di sicurezza di Qualys hanno individuato una nuova preoccupante vulnerabilità in OpenSSH, un arsenale di strumenti di rete basati sul protocollo SSH e utilizzato per mantenere al sicuro le comunicazioni su reti non sicure. La vulnerabilità, tracciata con il codice CVE-2024-6387 e battezzata "RegreSSHion" rappresenta una minaccia per i sistemi Linux basati su glibc, un'implementazione open source della libreria standard C.
RegreSSHion è una vulnerabilità di esecuzione di codice remoto (RCE) non autenticato che può concedere permessi di root agli aggressori. La vulnerabilità colpisce i server OpenSSH su Linux dalle versioni 8.5p1 fino alla 9.8p1 esclusa.
Il nome RegreSSHion deriva dal fatto che la vulnerabilità è a tutti gli effetti una "regressione di codice", ovvero la reintroduzione di una falla già corretta precedentemente, a seguito di una modifica del codice avvenuta nel 2020. Le versioni di OpenSSH dalla 4.4p1 alla 8.5p1 esclusa sono immuni a CVE-2024-6387 grazie a una patch precedentemente applicata per risolvere la vulnerabilità CVE-2006-5051. Le versioni antecedenti alla 4.4p1 sono invece vulnerabili a meno che non siano state applicate patch specifiche per CVE-2006-5051 e CVE-2008-4109.

Il meccanismo della vulnerabilità è legato al timeout di autenticazione. Se un client non si autentica entro il periodo definito da LoginGraceTime (impostato di default a 120 secondi), il gestore SIGALRM di sshd viene attivato in modo asincrono. Questo gestore chiama diverse funzioni che non sono progettate per gestire in sicurezza segnali asincroni, creando così una finestra di opportunità per gli attaccanti.
Le potenziali conseguenze di un attacco eseguito con successo sono estremamente gravi: un aggressore potrebbe ottenere il controllo completo del sistema preso di mira, installare malware, manipolare dati, creare backdoor per accessi persistenti e utilizzare il sistema compromesso come punto d'appoggio per attaccare altri sistemi vulnerabili all'interno della rete.
Qualys sottolinea tuttavia che lo sfruttamento di RegreSSHion è tecnicamente complesso e richiede numerosissimi tentativi e molto tempo perché un attacco possa avere effettivamente successo. Ciò accade per via delle contromisure di address space layout randomization, che cambia gli indirizzi di memoria in cui si trova il codice eseguibile, proprio allo scopo di contrastare l'esecuzione di programmi dannosi.
Inoltre al momento non sembra essere stato possibile riuscire a condurre attacchi che sfruttino questa vulnerabilità su sistemi a 64-bit, dal momento che il numero di indirizzi di memoria disponibili è esponenzialmente superiore a quelli disponibili per i sistemi a 32 bit. Dal momento che, come detto, lo sfruttamento della vulnerabilità implica comunque un elevato numero di tentativi, qualsiasi protezione contro azioni brute-force o DDoS può essere efficace a neutralizzare l'attacco. Vale comunque la pena di osservare che un aggressore particolarmente motivato che prenda di mira un bersaglio specifico potrebbe adottare una strategia di tentativi a bassa frequenza da differenti indirizzi IP e, pazientemente, avere successo.
In ogni caso la portata potenziale di questa vulnerabilità particolarmente preoccupante: Qualys ha effettuato una serie di scansioni tramite Shodan e Censys rilevando oltre 14 milioni di server OpenSSH esposti ad Internet e potenzialmente vulnerabili, mentre un'analisi con il sistema proprietario CSAM 3.0 sul parco dei propri clienti ha rilevato 700 mila istanze vulnerabili.
I sistemi OpenBSD risultano non essere affetti da questo difetto grazie a un meccanismo di sicurezza implementato nel 2001. Per quanto riguarda macOS e Windows, sebbene sia probabile che la vulnerabilità esista anche su questi sistemi, la sua sfruttabilità non è stata confermata e richiede un'analisi separata.
La mitigazione/risoluzione del problema è relativamente semplice e passa anzitutto dall'aggiornamento di OpenSSH all'ultima versione disponibile, la 9.8p1, che include la patch correttiva. Se vi sono motivazioni che impediscono l'aggiornamento immediato, Qualys suggerisce di impostare il parametro "LoginGraceTime" a 0 nel file di configurazione di sshd, tenendo però presente che questa misura potrebbe portare il server a situazioni di servizio negato.
Inoltre per chi fosse interessato a verificare l'esistenza di tentativi di sfruttamento, è sufficiente consultare i log di sistema alla ricerca dell'eventuale presenza di numerosissime voci di "Timeout before autentication"
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoGrazie.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".