Nova vulnerabilidade no SSH (CVE-2024-6387), permite execução remota de código de forma não autenticada com privilégios de root
Os mantenedores do OpenSSH lançaram atualizações de segurança para conter uma falha de segurança crítica que pode resultar na execução remota de código não autenticada com privilégios de raiz em sistemas Linux baseados em glibc.
A vulnerabilidade, de codinome regreSSHion, recebeu o identificador CVE-2024-6387. Ele reside no componente de servidor OpenSSH, também conhecido como sshd, que é projetado para escutar conexões de qualquer um dos aplicativos cliente.
“A vulnerabilidade, que é uma condição de corrida de manipulador de sinal no servidor OpenSSH (sshd), permite a execução remota de código (RCE) não autenticada como raiz em sistemas Linux baseados em glibc”, disse Bharat Jogi, diretor sênior da unidade de pesquisa de ameaças da Qualys, em um comunicado publicado hoje. “Essa condição de corrida afeta o sshd em sua configuração padrão.”
A empresa de segurança cibernética disse que identificou nada menos que 14 milhões de instâncias de servidor OpenSSH potencialmente vulneráveis expostas à internet, acrescentando que é uma regressão de uma falha de 18 anos já corrigida rastreada como CVE-2006-5051, com o problema restabelecido em outubro de 2020 como parte da versão 8.5p1 do OpenSSH.
“A exploração bem-sucedida foi demonstrada em sistemas Linux/glibc de 32 bits com [randomização de layout de espaço de endereço]”, disse a OpenSSH em um comunicado. “Em condições de laboratório, o ataque requer em média de 6 a 8 horas de conexões contínuas até o máximo que o servidor aceitará.”
A vulnerabilidade afeta versões entre 8.5p1 e 9.7p1. As versões anteriores à 4.4p1 também são vulneráveis ao bug de condição de corrida, a menos que sejam corrigidas para CVE-2006-5051 e CVE-2008-4109. Vale a pena notar que os sistemas OpenBSD não são afetados, pois incluem um mecanismo de segurança que bloqueia a falha.
É provável que a falha de segurança também afete tanto o macOS quanto o Windows, embora sua capacidade de exploração nessas plataformas permaneça não confirmada e exija mais análise.
Especificamente, a Qualys descobriu que, se um cliente não se autenticar dentro de 120 segundos (uma configuração definida por LoginGraceTime), o manipulador SIGALRM do sshd será chamado de forma assíncrona de uma maneira que não seja segura para sinal assíncrono.
O efeito líquido da exploração do CVE-2024-6387 é um comprometimento e aquisição total do sistema, permitindo que os agentes de ameaças executem código arbitrário com os mais altos privilégios, subvertam mecanismos de segurança, roubo de dados e até mesmo mantenham acesso persistente.
“Uma falha, uma vez corrigida, reapareceu em uma versão subsequente do software, geralmente devido a alterações ou atualizações que inadvertidamente reintroduzem o problema”, disse Jogi. “Este incidente destaca o papel crucial de testes de regressão completos para evitar a reintrodução de vulnerabilidades conhecidas no ambiente.”
Embora a vulnerabilidade tenha obstáculos significativos devido à sua natureza de condição de corrida remota, recomenda-se que os usuários apliquem os patches mais recentes para se proteger contra possíveis ameaças. Também é aconselhável limitar o acesso SSH por meio de controles baseados em rede e impor a segmentação de rede para restringir o acesso não autorizado e o movimento lateral.
Fonte: THN
