Pesquisadores da empresa de segurança cibernética Qualys descobriram uma vulnerabilidade crítica no servidor OpenSSH (sshd) em sistemas Linux baseados em glibc.
Essa falha, rastreada como CVE-2024-6387 e chamada de regreSSHion, é uma condição de corrida do manipulador de sinais no servidor OpenSSH.
A vulnerabilidade permite a execução remota de código (RCE) não autenticada com privilégios de root completos, representando um grande risco de segurança.
E o pior: ela afeta o sshd em sua configuração padrão. Para quem não sabe, o OpenSSH é um conjunto de utilitários de rede seguros baseado no protocolo Secure Shell (SSH).
Ele é amplamente usado por empresas para gerenciamento remoto de servidores e comunicações seguras de dados, fornecendo um canal seguro em uma rede não segura em uma arquitetura cliente-servidor.
Pesquisas do Censys e do Shodan identificaram mais de 14 milhões de instâncias de servidores OpenSSH potencialmente vulneráveis expostas à Internet.
A Qualys estima que cerca de 700.000 dessas instâncias externas estão vulneráveis, o que representa 31% de todas as instâncias voltadas para a Internet com OpenSSH na base global de clientes.
Bharat Jogi, Diretor Sênior da Unidade de Pesquisa de Ameaças da Qualys, explicou que essa vulnerabilidade é uma regressão da vulnerabilidade CVE-2006-5051 corrigida anteriormente, que foi relatada em 2006.
"Uma regressão significa que uma falha, uma vez corrigida, reapareceu em uma versão de software subsequente devido a alterações ou atualizações que reintroduzem o problema", afirmou Jogi.
Versões afetadas e consequências da exploração
Todas as versões do OpenSSH anteriores à 4.4p1 são vulneráveis a essa condição de corrida, a menos que tenham sido corrigidas para CVE-2006-5051 e CVE-2008-4109.
Versões de 8.5p1 até 9.8p1 (mas não incluindo 9.8p1) também são vulneráveis devido à remoção acidental de um componente crítico.
Se explorada, essa vulnerabilidade pode levar ao comprometimento total do sistema, permitindo que um invasor execute código arbitrário com os privilégios mais altos. Isso pode resultar em:
- Aquisição completa do sistema
- Instalação de malware
- Manipulação de dados
- Criação de backdoors para acesso persistente
- Propagação de rede para explorar outros sistemas vulneráveis na organização
O acesso root por meio desse CVE dá aos invasores a opção de ignorar mecanismos de segurança críticos, como firewalls e sistemas de detecção de intrusão, ocultando suas atividades.
Apesar da gravidade, essa vulnerabilidade é difícil de explorar devido à sua natureza de condição de corrida remota, exigindo múltiplas tentativas para um ataque bem-sucedido.
Isso pode causar corrupção de memória e exigir a superação da Randomização do Layout do Espaço de Endereço (ASLR).
Para mitigar o risco, é recomendável aplicar rapidamente os patches disponíveis para o OpenSSH e instalar as atualizações mais recentes.
Além disso, recomenda-se aplicar a segmentação de rede para restringir o acesso não autorizado e implantar sistemas para monitorar e alertar os administradores sobre atividades incomuns.
