Scoperta la vulnerabilità regreSSHion in OpenSSH

Recentemente, la società di sicurezza Qualys ha scoperto una nuova falla in OpenSSH, soprannominata regreSSHion, che riguarda una race condition all'interno del popolare software di sicurezza. OpenSSH è ampiamente considerato uno dei software più sicuri al mondo, grazie al suo design defense-in-depth e al codice esemplare. Tuttavia, la vulnerabilità identificata, CVE-2024-6387, è un'anomalia in un'implementazione altrimenti quasi perfetta. Il bug entra in gioco quando un client non riesce a eseguire l'autenticazione entro il tempo specificato dall'opzione LoginGraceTime, che ha un valore predefinito di 120 secondi (599 nelle versioni più vecchie di OpenSSH). Questa situazione innesca l'handler SIGALRM in modalità asincrona, creando un percorso potenziale per attacchi remoti e l'esecuzione di codice con privilegi di root.

Ritorno di una vecchia CVE

Ciò che rende particolarmente interessante questa vulnerabilità è che si tratta di una regressione di una vecchia CVE risalente al 2006, precisamente la CVE-2006-5051. La nuova versione della vulnerabilità non è solo una ripetizione del vecchio problema, ma dimostra come l'exploit possa essere eseguito in modi nuovi e più efficaci. Il rapporto dettagliato pubblicato da Qualys esplora in profondità le circostanze tecniche che permettono a questa race condition di diventare una minaccia palpabile. La criticità di regreSSHion sottolinea l'importanza di test dettagliati e di un monitoraggio costante delle implementazioni di sicurezza, anche per software con una reputazione storicamente robusta come OpenSSH.

Aggiornamenti e mitigazioni per diverse distribuzioni

Le principali distribuzioni Linux hanno reagito prontamente fornendo aggiornamenti che risolvono questa vulnerabilità. Ad esempio, gli utenti di Ubuntu vedranno un messaggio attraverso il sistema di aggiornamento apt che informa della correzione di CVE-2024-6387 per le versioni 22.04 LTS, 23.10 e 24.04 LTS. Allo stesso modo, Red Hat ha pubblicato una pagina dedicata alla mitigazione di questa falla, mentre SUSE e Debian hanno fornito risorse simili per i loro utenti. È essenziale che gli amministratori di sistema applicano immediatamente questi aggiornamenti per proteggere i loro sistemi da potenziali exploit che potrebbero sfruttare questa vulnerabilità.

Strumenti di controllo e considerazioni finali

Per controllare quali macchine nella vostra rete potrebbero essere vulnerabili, è possibile utilizzare strumenti come lo script Python CVE-2024-6387_Check, che permette una verifica puntuale della presenza della falla. È fondamentale garantire che tutte le macchine siano aggiornate e conformi alle patch rilasciate. Infine, un pizzico di ironia: in un data center ancora popolato da macchine con CentOS 7, che non ricevono più aggiornamenti ufficiali, i rischi sono amplificati. È quindi cruciale evitare l'uso di distribuzioni non più supportate in ambienti di produzione per evitare potenziali disastri di sicurezza.