Une nouvelle vulnérabilité d’exécution de code à distance (RCE) non authentifiée OpenSSH baptisée « regreSSHion » donne des privilèges root sur les systèmes Linux basés sur la glibc.
OpenSSH est une suite d’utilitaires réseau basés sur le protocole Secure Shell (SSH). Il est largement utilisé pour la connexion à distance sécurisée, la gestion et l’administration de serveurs distants et les transferts de fichiers via SCP et SFTP.
La faille, découverte par des chercheurs de Qualys en mai 2024 et attribuée à l’identifiant CVE-2024-6387, est due à une condition de concurrence entre les gestionnaires de signaux dans sshd qui permet aux attaquants distants non authentifiés d’exécuter du code arbitraire en tant que root.
« Si un client ne s’authentifie pas dans les secondes LoginGraceTime (120 par défaut), alors le gestionnaire SIGALRM de sshd est appelé de manière asynchrone et appelle diverses fonctions qui ne sont pas sûres pour les signaux asynchrones », explique un bulletin de sécurité Debian.
« Un attaquant distant non authentifié peut tirer parti de cette faille pour exécuter du code arbitraire avec les privilèges root. »
L’exploitation de regreSSHion peut avoir de graves conséquences pour les serveurs ciblés, conduisant potentiellement à une prise de contrôle complète du système.
« Cette vulnérabilité, si elle est exploitée, pourrait entraîner une compromission complète du système où un attaquant peut exécuter du code arbitraire avec les privilèges les plus élevés, entraînant une prise de contrôle complète du système, l’installation de logiciels malveillants, la manipulation de données et la création de portes dérobées pour un accès persistant. Cela pourrait faciliter la propagation du réseau, permettant aux attaquants d’utiliser un système compromis comme point de départ pour traverser et exploiter d’autres systèmes vulnérables au sein de l’organisation. »
❖ Qualys
Malgré la gravité de la faille, Qualys affirme que regreSSHion est difficile à exploiter et nécessite plusieurs tentatives pour obtenir la corruption de mémoire nécessaire.
Cependant, il est à noter que les outils d’IA peuvent être utilisés pour surmonter les difficultés pratiques et augmenter le taux d’exploitation réussi.
Qualys a également publié un article plus technique qui approfondit le processus d’exploitation et les stratégies d’atténuation potentielles.
Régression atténuante
La faille regreSSHion affecte les serveurs OpenSSH sous Linux à partir de la version 8.5p1 jusqu’à, mais sans inclure 9.8p1.
Les versions 4. 4p1 à 8.5p1 non incluses ne sont pas vulnérables à CVE-2024-6387 grâce à un correctif pour CVE-2006-5051, qui sécurisait une fonction auparavant dangereuse.
Les versions antérieures à 4. 4p1 sont vulnérables à regreSSHion à moins qu’elles ne soient corrigées pour CVE-2006-5051 et CVE-2008-4109.
Qualys note également que les systèmes OpenBSD ne sont pas affectés par cette faille grâce à un mécanisme sécurisé introduit en 2001.
Les chercheurs en sécurité notent également que bien que regreSSHion existe probablement aussi sur macOS et Windows, son exploitabilité sur ces systèmes n’a pas été confirmée. Une analyse distincte est nécessaire pour déterminer si ces systèmes d’exploitation sont vulnérables.
Pour résoudre ou atténuer la vulnérabilité regreSSHion dans OpenSSH, les actions suivantes sont recommandées:
- Appliquez la dernière mise à jour disponible pour le serveur OpenSSH (version 9.8p1), qui corrige la vulnérabilité.
- Limitez l’accès SSH à l’aide de contrôles basés sur le réseau tels que des pare-feu et implémentez une segmentation du réseau pour empêcher les mouvements latéraux.
- Si le serveur OpenSSH ne peut pas être mis à jour immédiatement, définissez la valeur ‘LoginGraceTime’ sur 0 dans le fichier de configuration sshd, mais notez que cela peut exposer le serveur à des attaques par déni de service.
Les analyses de Shodan et Census révèlent plus de 14 millions de serveurs OpenSSH exposés à Internet, mais Qualys a confirmé un statut vulnérable pour 700 000 instances sur la base de ses données CSAM 3.0.