Os desenvolvedores do OpenSSH lançaram atualizações de segurança para corrigir uma falha crítica que pode resultar na execução remota de código não autenticado com privilégios de root em sistemas Linux baseados em glibc.
Identificada como CVE-2024-6387, a vulnerabilidade está no componente do servidor OpenSSH, conhecido como sshd, que é responsável por receber conexões de qualquer aplicativo cliente.
"A vulnerabilidade, que é uma "signal handler race condition" no servidor OpenSSH (sshd), permite a execução remota de código (RCE) não autenticada como root em sistemas Linux baseados em glibc", afirmou Bharat Jogi, diretor sênior da unidade de pesquisa de ameaças da Qualys. "A "signal handler race condition" afeta o sshd em sua configuração padrão."
A empresa identificou até 14 milhões de instâncias de servidores OpenSSH potencialmente vulneráveis expostas à internet. A falha é uma regressão de um problema corrigido há 18 anos, identificado como CVE-2006-5051, que foi reintroduzido em outubro de 2020 na versão 8.5p1 do OpenSSH.
"A exploração bem-sucedida foi demonstrada em sistemas Linux/glibc de 32 bits com randomização do layout do espaço de endereço", disse o OpenSSH em um comunicado. "Em condições de laboratório, o ataque requer, em média, de 6 a 8 horas de conexões contínuas até o máximo que o servidor aceitará."
A vulnerabilidade afeta as versões entre 8.5p1 e 9.7p1 do OpenSSH. Versões anteriores à 4.4p1 também são vulneráveis ao bug "signal handler race condition", a menos que sejam corrigidas para CVE-2006-5051 e CVE-2008-4109. É importante notar que sistemas OpenBSD não são afetados, pois possuem um mecanismo de segurança que bloqueia a falha.
Especificamente, a Qualys descobriu que, se um cliente não se autenticar dentro de 120 segundos (tempo definido pelo LoginGraceTime), o manipulador SIGALRM do sshd será chamado de forma assíncrona, o que não é seguro para sinais assíncronos.
A exploração do CVE-2024-6387 pode resultar no comprometimento total do sistema, permitindo que hackers executem códigos arbitrários com os mais altos privilégios, subvertam mecanismos de segurança, roubem dados e mantenham acesso persistente.
"Uma falha, uma vez corrigida, reapareceu em uma versão subsequente do software, geralmente devido a alterações ou atualizações que inadvertidamente reintroduzem o problema", disse Jogi. "Esse incidente destaca a importância dos testes de regressão completos para evitar a reintrodução de vulnerabilidades conhecidas."
Embora a natureza da condição de corrida remota apresente obstáculos significativos, recomenda-se que os usuários apliquem os patches mais recentes para se protegerem contra possíveis ameaças. Também é aconselhável limitar o acesso SSH por meio de controles baseados em rede e segmentar a rede para restringir acessos não autorizados e movimentos laterais.
Via - THN
Kommentare