Alcune versioni della suite di rete sicura OpenSSH sono vulnerabili a una nuova falla che potrebbe consentire l’esecuzione remota di codice (RCE).
Dettagli della vulnerabilità
La vulnerabilità, identificata come CVE-2024-6409 (CVSS score: 7.0), è distinta da CVE-2024-6387 (RegreSSHion) e riguarda l’esecuzione di codice nel processo figlio “privsep” a causa di una race condition nella gestione dei segnali. Colpisce solo le versioni 8.7p1 e 8.8p1 distribuite con Red Hat Enterprise Linux 9.
Il ricercatore di sicurezza Alexander Peslyak, noto con lo pseudonimo Solar Designer, ha scoperto e segnalato il bug durante una revisione di CVE-2024-6387, divulgata da Qualys all’inizio di questo mese.
“La principale differenza da CVE-2024-6387 è che la race condition e la potenziale RCE vengono attivate nel processo figlio privsep, che viene eseguito con privilegi ridotti rispetto al processo server padre”, ha affermato Peslyak. “Quindi l’impatto immediato è inferiore. Tuttavia, potrebbero esserci differenze nello sfruttamento di queste vulnerabilità in uno scenario particolare, rendendo una delle due più appetibile per un aggressore. Se solo una delle due viene corretta o mitigata, l’altra diventa più rilevante.”
Tuttavia, è importante sottolineare che la vulnerabilità relativa alla race condition nell’handler dei segnali è simile a CVE-2024-6387. Se un client non si autentica entro LoginGraceTime secondi (120 di default), viene chiamato in modo asincrono l’handler SIGALRM del processo OpenSSH daemon, che a sua volta richiama varie funzioni non async-signal-safe.
“Questo problema lo espone a una race condition nell’handler del segnale sulla funzione cleanup_exit(), introducendo la stessa vulnerabilità di CVE-2024-6387 nel processo figlio non privilegiato del server SSHD”, si legge nella descrizione della vulnerabilità.
“Come conseguenza di un attacco riuscito, nel peggiore scenario, l’aggressore potrebbe essere in grado di eseguire codice remoto (RCE) come utente non privilegiato che esegue il server sshd.”
Attacchi attivi in corso
Un exploit funzionante per CVE-2024-6387 è stato successivamente rilevato in natura, con un attore sconosciuto che prende di mira server principalmente in Cina.
“Il vettore iniziale di questo attacco proviene dall’indirizzo IP 108.174.58[.]28, che secondo quanto riferito ospita un elenco di directory con exploit e script per automatizzare lo sfruttamento di server SSH vulnerabili”, ha affermato la società israeliana di sicurezza informatica Veriti.
Consigli per la sicurezza
Gli amministratori di sistema che utilizzano le versioni vulnerabili di OpenSSH dovrebbero aggiornare immediatamente i loro server all’ultima versione disponibile. È fondamentale applicare le patch di sicurezza tempestivamente per mitigare i rischi legati a queste vulnerabilità.