Vulnerabilidad de regresión de OpenSSH (CVE-2024-6387): medidas de explotación y mitigación

Acerca de la vulnerabilidad

El 1 de julio de 2024, se descubrió una importante vulnerabilidad de seguridad en OpenSSH que afectaba específicamente a los sistemas Linux basados en glibc. Esta falla, identificada como CVE-2024-6387, representa un riesgo crítico, ya que permite la ejecución remota de código (RCE) sin autenticar con privilegios de usuario root. La vulnerabilidad se debe a que el controlador de señales no funciona correctamente en el componente de servidor OpenSSH (sshd), que es responsable de aceptar las conexiones desde las aplicaciones cliente.

Un análisis de seguridad en profundidad ha revelado que esta falla es esencialmente una regresión de la vulnerabilidad CVE-2006-5051 previamente parcheada, que se solucionó hace 18 años. Lamentablemente, se reintrodujo inadvertidamente con el lanzamiento de la versión 8.5p1 de OpenSSH en octubre de 2020. Este descubrimiento reciente sirve como un claro recordatorio de la importancia fundamental de realizar pruebas de regresión exhaustivas para evitar que vuelvan a aparecer vulnerabilidades previamente resueltas.
‍

‍Impacto de CVE-2024-6387

El CVE-2024-6387 conlleva importantes implicaciones con graves consecuencias. Una vez explotado con éxito, el sistema queda totalmente en peligro, lo que otorga a los atacantes un acceso sin restricciones para ejecutar cualquier código con el nivel más alto de privilegios. Esto les permite implementar malware, extraer datos confidenciales y establecer puertas traseras persistentes para su explotación futura.

Los investigadores han observado que la explotación de esta vulnerabilidad suele requerir varios intentos. En condiciones de laboratorio, el ataque necesitó una media de 6 a 8 horas de intentos de conexión continuos en sistemas de 32 bits con la distribución aleatoria del espacio de direcciones (ASLR) habilitada. Esto pone de manifiesto la persistencia y el esfuerzo que han necesitado los atacantes para aprovechar la vulnerabilidad con éxito.
‍

Acciones recomendadas

Para abordar la naturaleza crítica del CVE-2024-6387, es esencial tomar medidas inmediatas para mitigar los riesgos asociados. Estos son los pasos para proteger sus sistemas:

Aplicar parches: Actualice OpenSSH a la versión más reciente que incluya los parches necesarios para corregir el CVE-2024-6387.

Limitar el acceso SSH: Implemente controles basados en la red para restringir el acceso SSH y aplicar la segmentación para reducir la posible superficie de ataque.

Configurar LoginGraceTime: Como medida temporal, defina el parámetro LoginGraceTime en 0 en la configuración del servidor SSH. Esta configuración reduce el tiempo disponible para que un atacante aproveche la vulnerabilidad. Sin embargo, es importante tener en cuenta que esto también expone al sistema a ataques de denegación de servicio, ya que puede provocar el agotamiento de las conexiones permitidas. Por lo tanto, es recomendable utilizar este enfoque junto con otras medidas para limitar el acceso SSH.

Versiones afectadas:

• OpenSSH anterior a 4.4p1
• OpenSSH entre 8,5p1 y 9,7p1

Versiones fijas:

• 1:8.4 p1-5+deb11u3
• 1:9.2 p1-2+deb12u3
  ‍
  

Nexusguard y los clientes no afectados por el CVE-2024-6387

Tras una supervisión atenta, hemos determinado que nuestros productos no se ven afectados por el CVE-2024-6387. Nuestras soluciones avanzadas incorporan controles sólidos basados en la red que limitan de manera efectiva el acceso por SSH y refuerzan la segmentación, lo que reduce significativamente la exposición a posibles vectores de ataque.

Con la tranquilidad como piedra angular de nuestro servicio, los clientes de Nexusguard pueden estar seguros de que realizamos evaluaciones de seguridad periódicas y pruebas rigurosas, manteniéndonos a la vanguardia de las amenazas emergentes y abordando rápidamente cualquier vulnerabilidad destacada en los avisos de seguridad.

Medidas para proteger su organización

En caso de que sospeche que está afectado por esta vulnerabilidad, es fundamental buscar asistencia especializada con prontitud.

Nexusguard es un proveedor líder de soluciones sólidas de seguridad de denegación de servicio distribuido (DDoS), comprometido con la lucha contra los ataques maliciosos de Internet. Nuestra amplia gama de servicios ofrece una defensa inigualable contra una amplia gama de ataques que abarcan las capas L3, L4 y L7. Con nuestra protección integral, que incluye medidas proactivas contra posibles ataques de día cero, garantizamos una eficiencia y eficacia óptimas a la hora de proteger sus valiosos activos digitales.

Para obtener más información sobre el conjunto de soluciones flexibles contra DDoS de Nexusguard, visite haga clic aquí o ponte en contacto con nosotros a través de nuestro formulario de contacto de emergencia.

‍