Close Menu
    Trending

    OpenSSH: scoperta una nuova vulnerabilità

    By 3 Mins Read

    Akamai condivide le caratteristiche di regreSSHion, l’ultima vulnerabilità critica che colpisce diverse versioni di OpenSSH

    OpenSSH

    Un nuovo allarme viene emanato dai ricercatori di Akamai che condividono l’analisi della vulnerabilità critica in OpenSSH (CVE-2024-6387), nota come regreSSHion e scoperta dal Qualys Threat Research Unit. Questa falla potrebbe permettere l’esecuzione di codice remoto non autenticato. Derivata da una regressione della vecchia vulnerabilità CVE-2006-5051, la nuova minaccia è stata resa pubblica il 1° luglio 2024.

    La vulnerabilità è causata da una race condition dovuta alla gestione non sicura dei segnali durante un timeout nell’autenticazione dell’utente. Un segnale SIGALRM interrompe un thread durante l’esecuzione di una routine di gestione dell’heap, che può portare all’esecuzione di codice arbitrario se il gestore del segnale chiama la stessa routine di gestione dell’heap.

    Le versioni di OpenSSH colpite da regreSSHion

    Questa vulnerabilità colpisce diverse versioni di OpenSSH, incluse in molte distribuzioni Linux:

    • Vecchia vulnerabilità (CVE-2006-5051): versioni di OpenSSH precedenti alla 4.4/4.4p1 (2006-09-27), a meno che non siano state patchate per CVE-2006-5051 e CVE-2008-4109.
    • Regressione della vulnerabilità: introdotta in OpenSSH 8.5/8.5p1 (2021-03-03).
    • Versioni corrette: OpenSSH 9.8/9.8p1 (2024-07-01) e successive.

    Dato che OpenSSH è ampiamente utilizzato, l’impatto è significativo, colpendo la maggior parte delle distribuzioni Linux. Tuttavia, diversi fattori riducono il rischio immediato:

    1. Limitazioni della PoC: attualmente, la PoC è efficace solo su computer x86. Lo sfruttamento su computer amd64 è più complesso a causa delle protezioni della memoria più robuste.
    2. Tempo di sfruttamento: sfruttare con successo la vulnerabilità richiede tempo prolungato e connessioni multiple, il che dovrebbe attivare i rilevatori di attacchi brute-force.
    3. Vettore di accesso iniziale: questa vulnerabilità è probabilmente utilizzata come punto di accesso iniziale da internet. La mitigazione include la segmentazione delle interfacce SSH esposte a internet (o l’utilizzo di jump box per il traffico SSH) per limitare il potenziale danno.

    Strategie di mitigazione

    La soluzione principale per mitigare questa vulnerabilità è aggiornare OpenSSH a una versione non vulnerabile. Poiché OpenSSH è generalmente incluso nelle distribuzioni Linux, l’aggiornamento dipende dal rilascio delle patch da parte del fornitore. Utilizzare la query Osquery fornita per rilevare gli asset vulnerabili e monitorarli nel tempo. I clienti di Akamai Guardicore Segmentation possono eseguire query per identificare ed etichettare gli asset in base ai risultati della query.

    Dato che lo sfruttamento della vulnerabilità richiede tempo, è essenziale identificare e limitare l’accesso alle interfacce OpenSSH esposte a internet. Per i dispositivi che necessitano dell’accesso SSH da internet, è importante applicare la segmentazione della rete per limitare l’esposizione della rete interna.

    Se le patch fossero in ritardo, è consigliabile aumentare la sensibilità degli allarmi sui workload vulnerabili e non patchati. Focalizzarsi sul rilevamento dei tentativi di brute-force, probabili indicatori di tentativi di sfruttamento. Regolare la sensibilità degli allarmi in base all’importanza del workload e al suo potenziale impatto.

    Share.

    LineaEDP è parte di BitMAT Edizioni, una casa editrice che ha sede a Milano con copertura a 360° per quanto riguarda la comunicazione rivolta agli specialisti dell'lnformation & Communication Technology.

    Correlati