Vulnerabilidade de regressão do OpenSSH (CVE-2024-6387): medidas de exploração e mitigação

Sobre a vulnerabilidade

Em 1º de julho de 2024, uma vulnerabilidade de segurança significativa foi descoberta no OpenSSH, afetando especificamente os sistemas Linux baseados em glibc. Essa falha, identificada como CVE-2024-6387, representa um risco crítico, pois permite a execução remota de código (RCE) não autenticada com privilégios de root. A vulnerabilidade decorre de uma condição de corrida do manipulador de sinal dentro do componente de servidor OpenSSH (sshd), que é responsável por aceitar conexões de aplicativos clientes.
‍

Uma análise aprofundada de segurança revelou que essa falha é essencialmente uma regressão da vulnerabilidade CVE-2006-5051 corrigida anteriormente, que foi resolvida há 18 anos. Infelizmente, ele foi reintroduzido inadvertidamente com o lançamento do OpenSSH versão 8.5p1 em outubro de 2020. Essa descoberta recente serve como um lembrete gritante da importância crítica de um teste de regressão abrangente para evitar a recorrência de vulnerabilidades resolvidas anteriormente.
‍

‍Impacto do CVE-2024-6387

O CVE-2024-6387 traz implicações significativas com consequências graves. Uma vez explorado com sucesso, ele resulta no comprometimento total do sistema, concedendo aos atacantes acesso irrestrito para executar qualquer código com o mais alto nível de privilégios. Isso permite que eles implantem malware, extraiam dados confidenciais e estabeleçam backdoors persistentes para futuras explorações.
‍

Os pesquisadores observaram que a exploração dessa vulnerabilidade geralmente requer várias tentativas. Em condições de laboratório, o ataque levou em média de 6 a 8 horas de tentativas contínuas de conexão em sistemas de 32 bits com o Address Space Layout Randomization (ASLR) ativado. Isso destaca a persistência e o esforço exigidos pelos invasores para explorar a vulnerabilidade com sucesso.
‍

Ações recomendadas

Para abordar a natureza crítica do CVE-2024-6387, é essencial tomar medidas imediatas para mitigar os riscos associados. Aqui estão as etapas para proteger seus sistemas:
‍

Aplique patches: Atualize o OpenSSH para a versão mais recente que inclui os patches necessários para solucionar o CVE-2024-6387.
‍

Limitar o acesso SSH: Implemente controles baseados em rede para restringir o acesso SSH e impor a segmentação para reduzir a superfície de ataque em potencial.
‍

Configurar LogingRaceTime: Como medida temporária, defina o parâmetro logingRaceTime como 0 na configuração do servidor SSH. Essa configuração reduz o tempo disponível para um invasor explorar a vulnerabilidade. No entanto, é importante observar que isso também expõe o sistema a ataques de negação de serviço, pois isso pode levar ao esgotamento das conexões permitidas. Portanto, é aconselhável usar essa abordagem em conjunto com outras medidas para limitar o acesso SSH.
‍

Versões afetadas:

• OpenSSH anterior a 4.4p1
• OpenSSH entre 8,5p1 e 9,7p1

Versões fixas:

• 1:8.4 p1-5+deb11u3
• 1:9.2 p1-2+deb12u3
  ‍
  

Nexusguard e clientes não afetados pelo CVE-2024-6387

Por meio de monitoramento vigilante, determinamos que nossos produtos permanecem inalterados pelo CVE-2024-6387. Nossas soluções avançadas incorporam controles robustos baseados em rede que limitam efetivamente o acesso SSH e impõem a segmentação, reduzindo significativamente a exposição a possíveis vetores de ataque.
‍

Com a tranquilidade como base do nosso serviço, os clientes da Nexusguard podem ter certeza de que realizamos avaliações de segurança regulares e testes rigorosos, permanecendo na vanguarda das ameaças emergentes e abordando prontamente todas as vulnerabilidades destacadas nos conselhos de segurança.

‍

Medidas para proteger sua organização

Caso você suspeite de ter sido afetado por essa vulnerabilidade, é fundamental procurar assistência especializada imediatamente.
‍

A Nexusguard se destaca como fornecedora líder de soluções robustas de segurança distribuída de negação de serviço (DDoS), comprometida em combater ataques maliciosos na Internet. Nossa ampla gama de serviços oferece defesa inigualável contra uma ampla variedade de ataques que abrangem as camadas L3-L4 e L7. Com nossa proteção abrangente, incluindo medidas proativas contra possíveis ataques de dia zero, garantimos eficiência e eficácia ideais na proteção de seus valiosos ativos digitais.
‍

Para obter mais detalhes sobre o conjunto flexível de soluções anti-DDoS da Nexusguard, por favor clique aqui ou entre em contato conosco por meio de nosso formulário de contato de emergência.

‍