I ricercatori di Qualys hanno scoperto una grave vulnerabilità nei server OpenSSH (sshd) dei sistemi Linux basati su glibc. Può essere sfruttata per eseguire codice arbitrario con privilegi root. In base alle ricerche effettuate da Censys e Shodan ci sono oltre 14 milioni di server potenzialmente in pericolo.
Installare l’ultima versione di OpenSSH server
OpenSSH è una suite di utilità di rete basata sul protocollo Secure Shell (SSH). Viene utilizzata per l’accesso remoto sicuro, la gestione e l’amministrazione di server remoti, e i trasferimenti di file tramite SCP e SFTP. La vulnerabilità, indicata con CVE-2024-6387, consente l’esecuzione di codice remoto come root sfruttando una “signal handler race condition”.
I ricercatori hanno scelto il nome regreSSHion perché il problema è una regressione di una vecchia vulnerabilità (CVE-2006-5051), già risolta, che è stata reintrodotta inavvertitamente nel codice con la versione OpenSSH 8.5p1 di ottobre 2020. I dettagli tecnici possono essere letti nel bollettino di sicurezza. La patch per la vulnerabilità è inclusa in OpenSSH 9.8p1.
Sfruttando il bug è possibile eseguire codice arbitrario con privilegi root. Ciò consente di prendere il controllo del sistema, installare malware, manipolare i dati, creare backdoor per la persistenza e compromettere altri sistemi dell’azienda. Grazie all’accesso root è possibile aggirare i meccanismi di sicurezza e rubare dati sensibili.
Sono tuttavia necessari diversi tentativi per sfruttare la vulnerabilità. Le probabilità di successo degli attacchi aumentano con l’uso dei moderni tool IA. Oltre all’installazione dell’aggiornamento, Qualys consiglia di limitare l’accesso SSH e segmentare la rete per evitare la propagazione.