ESTOY BAJO UN CIBER ATAQUE

Alerta

Alerta 2024-18 Vulnerabilidad de RegreSSHion

Producto(s) afectado(s):

  • Versiones anteriores a 4.4p1: Vulnerables si no tienen parches para CVE-2006-5051 y CVE-2008-4109.
  • Versiones de la 8.5p1 a la 9.8p1, sin incluir la 9.8p1: La vulnerabilidad reaparece debido a la eliminación accidental de un componente crítico en una función.

Descripción:

La Unidad de Investigación de Amenazas de Qualys (TRU) ha descubierto una grave vulnerabilidad denominada «regreSSHion» (CVE-2024-6387) que afecta al servidor OpenSSH (sshd) en sistemas Linux basados en glibc. Este fallo, una condición de carrera en el manejador de señales, permite a los atacantes no autentificados obtener acceso root y tomar el control total de las máquinas vulnerables. La vulnerabilidad es una regresión de CVE-2006-5051, un problema solucionado anteriormente que ha resurgido en versiones posteriores.

Los investigadores que desarrollaron un exploit para AMD64 señalan que el éxito de la explotación requiere múltiples intentos para ganar la condición de carrera y que, debido a las protecciones ASLR normales, el éxito de la explotación es complejo y lento. En sus pruebas, tardaron una semana en obtener un shell de root en la versión x86 (32 bits), y no se ha probado en x64 (64 bits).

Prevención:

La explotación con éxito de la vulnerabilidad «regreSSHion» podría tener consecuencias devastadoras:

  • Compromiso total del sistema: Los atacantes pueden instalar malware, manipular datos y establecer puertas traseras para un acceso persistente.
  • Propagación por la red: La vulnerabilidad permite a los atacantes eludir los mecanismos de seguridad y propagarse por la red, poniendo en peligro tanto a empresas como a particulares.

Mitigación:

  • Actualiza OpenSSH a la versión 9.8p1, que corrige la vulnerabilidad.

Controles compensatorios:

  • Modifica la configuración de sshd: Si no es posible actualizar o recompilar sshd, establece LoginGraceTime a 0 en el archivo de configuración de sshd. Esto hará que sshd sea vulnerable a la denegación de servicio, pero mitigará la posibilidad de ejecución remota de código.
  • Restringir el acceso SSH:
  • Configura los cortafuegos para limitar el acceso SSH sólo a las direcciones IP autorizadas.
  • Bloquea el acceso SSH desde ubicaciones inseguras o innecesarias.
  • Limita el acceso SSH a servidores específicos dentro de esos segmentos.
  • Permitir el acceso SSH sólo desde una lista predefinida de direcciones IP de confianza.
Descargar PDF

ESTAMOS AQUÍ PARA AYUDARTE

¿Estás sufriendo un ciberataque?

Denúncialo aquí

recibe las últimas alertas en tu bandeja de entrada

Suscríbete a nuestro boletín

Somos un grupo de profesionales altamente capacitados con sede en I+D, con conocimientos técnicos avanzados y experiencia en la detección, análisis, contención y recuperación de incidentes de seguridad.

Somos un CSIRT, somos Cybolt.

ESTOY SUFRIENDO UN CIBERATAQUE

Explora

Servicios

Mantente informado

© 2024. Beacon Lab CSIRT, Política de privacidad

This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.