Falha permite acesso root
1 de Julho de 2024

Os mantenedores do OpenSSH lançaram atualizações de segurança para conter uma falha crítica de segurança que poderia resultar em execução remota de código não autenticada com privilégios de root em sistemas Linux baseados em glibc.

A vulnerabilidade foi designada com o identificador CVE CVE-2024-6387.

Ela está localizada no componente servidor do OpenSSH, também conhecido como sshd, que é projetado para ouvir conexões de qualquer uma das aplicações cliente.

"A vulnerabilidade, que é uma condição de corrida no manipulador de sinal do servidor do OpenSSH (sshd), permite a execução remota de código (RCE) não autenticada como root em sistemas Linux baseados em glibc," disse Bharat Jogi, diretor sênior da unidade de pesquisa de ameaças na Qualys, em uma divulgação publicada hoje.

Esta condição de corrida afeta o sshd em sua configuração padrão.

A empresa de cibersegurança disse que identificou não menos que 14 milhões de instâncias potencialmente vulneráveis do servidor OpenSSH expostas à internet, acrescentando que se trata de uma regressão de uma falha de 18 anos previamente corrigida, rastreada como CVE-2006-5051, com o problema reintroduzido em outubro de 2020 como parte da versão 8.5p1 do OpenSSH.

"A exploração bem-sucedida foi demonstrada em sistemas Linux/glibc de 32 bits com [randomização do layout do espaço de endereçamento]," disse o OpenSSH em um aviso.

Em condições de laboratório, o ataque requer, em média, 6-8 horas de conexões contínuas até o máximo que o servidor aceitará. A vulnerabilidade impacta versões entre 8.5p1 e 9.7p1.

Versões anteriores à 4.4p1 também são vulneráveis à falha de condição de corrida, a menos que sejam corrigidas para CVE-2006-5051 e CVE-2008-4109.

Vale notar que sistemas OpenBSD são imunes, pois incluem um mecanismo de segurança que bloqueia a falha.

Especificamente, a Qualys descobriu que, se um cliente não se autenticar dentro de 120 segundos (uma configuração definida por LoginGraceTime), então o manipulador SIGALRM do sshd é chamado de forma assíncrona de maneira que não é segura para sinais assíncronos.

O efeito líquido de explorar a CVE-2024-6387 é a completa comprometimento e tomada do sistema, permitindo que atores de ameaças executem código arbitrário com os privilégios mais altos, subvertam mecanismos de segurança, cometam furto de dados e até mantenham acesso persistente.

"Uma falha, uma vez corrigida, reapareceu em uma versão subsequente do software, tipicamente devido a mudanças ou atualizações que inadvertidamente reintroduzem a questão," disse Jogi.

Este incidente destaca o papel crucial dos testes de regressão completos para prevenir a reintrodução de vulnerabilidades conhecidas no ambiente.

Embora a vulnerabilidade tenha barreiras significativas devido à sua natureza de condição de corrida remota, recomenda-se aos usuários aplicar as últimas correções para se protegerem contra possíveis ameaças.

Também é aconselhado limitar o acesso SSH por meio de controles baseados em rede e impor segmentação de rede para restringir o acesso não autorizado e o movimento lateral.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...