La Threat Research Unit (TRU) di Qualys ha scoperto una grave vulnerabilità nel server OpenSSH (sshd), che potenzialmente può interessare oltre 14 milioni di sistemi Linux in tutto il mondo. La falla, denominata CVE-2024-6387, consente l’esecuzione di codice non autenticato da remoto (RCE) con privilegi di root sui sistemi Linux basati su glibc.
Questa vulnerabilità, derivante da una race condition del gestore del segnale, colpisce sshd nella sua configurazione predefinita. I ricercatori di Qualys hanno identificato circa 700.000 istanze esterne vulnerabili rivolte a Internet tra i loro clienti globali, che rappresentano il 31% di tutte le istanze OpenSSH rivolte a Internet.
Ray Kelly, Fellow del Software Integrity Group di Synopsys, ha dichiarato: “Questa vulnerabilità è la più grave che ci sia. La tripletta di esecuzione di codice da remoto, accesso root e una distribuzione diffusa tra i server Linux ne fanno un bersaglio molto ghiotto per gli attori delle minacce”.
La scoperta è particolarmente allarmante perché rappresenta una regressione di una vulnerabilità precedentemente patchata (CVE-2006-5051) del 2006. Questa regressione è stata inavvertitamente introdotta nell’ottobre 2020 con OpenSSH 8.5p1, evidenziando l’importanza fondamentale di un accurato test di regressione nello sviluppo del software.
Le versioni di OpenSSH interessate includono quelle precedenti alla 4.4p1 (a meno che non siano state applicate le patch per CVE-2006-5051 e CVE-2008-4109) e le versioni dalla 8.5p1 fino alla 9.8p1, esclusa. In particolare, i sistemi OpenBSD non sono interessati da questa vulnerabilità grazie a un meccanismo di sicurezza sviluppato nel 2001.
L’impatto potenziale di questa vulnerabilità è grave. Se sfruttata, potrebbe portare alla completa compromissione del sistema, consentendo agli aggressori di eseguire codice arbitrario con privilegi di root. Ciò potrebbe portare all’installazione di malware, alla manipolazione dei dati e alla creazione di backdoor persistenti. Inoltre, i sistemi compromessi potrebbero essere utilizzati come trampolino di lancio per la propagazione della rete, aggirando potenzialmente i meccanismi di sicurezza critici.
Sebbene la vulnerabilità sia difficile da sfruttare a causa della sua natura di condizione di gara remota, i progressi nel deep learning potrebbero aumentare significativamente il tasso di successo degli attacchi in futuro.
Per ridurre i rischi, si consiglia alle aziende di:
- Implementare una gestione immediata delle patch
- Migliorare il controllo degli accessi per SSH
- Utilizzare sistemi di segmentazione della rete e di rilevamento delle intrusioni.
OpenSSH, una suite di utilità di rete sicure basate sul protocollo SSH, è fondamentale per la comunicazione sicura su reti non sicure. È ampiamente utilizzato negli ambienti aziendali per la gestione di server remoti, il trasferimento sicuro di file e varie pratiche DevOps.
Nonostante questa battuta d’arresto, OpenSSH mantiene una solida reputazione in termini di sicurezza. Tuttavia, questo incidente serve a ricordare le continue difficoltà nel mantenere la sicurezza del software, anche per strumenti consolidati e ampiamente utilizzati.
Gli sviluppatori e gli amministratori di sistema sono invitati a rivedere le loro implementazioni di OpenSSH e ad applicare tempestivamente gli aggiornamenti necessari.
“Sebbene sia disponibile una patch per OpenSSH, la sua distribuzione su tutti i sistemi interessati – che potrebbe avere un impatto su 14 milioni di istanze OpenSSH – rappresenta una sfida significativa. Questa vulnerabilità potrebbe persistere a lungo, ricordando la vulnerabilità Heartbleed di OpenSSL del 2014”, spiega Kelly.
Con l’evolversi della situazione, la comunità della sicurezza informatica osserverà con attenzione la rapidità con cui questa vulnerabilità verrà affrontata e le implicazioni a lungo termine che potrebbe avere per OpenSSH e per altri software critici per la sicurezza.
