Versões selecionadas do pacote de rede segura OpenSSH são suscetíveis a uma nova vulnerabilidade que pode acionar a execução remota de código (RCE).
A vulnerabilidade, rastreada como CVE-2024-6409 (pontuação CVSS: 7.0), é distinta de CVE-2024-6387 (também conhecido como RegreSSHion) e se relaciona a um caso de execução de código no processo filho privsep devido a uma condição de corrida no tratamento de sinal. Ela afeta apenas as versões 8.7p1 e 8.8p1 fornecidas com o Pink Hat Enterprise Linux 9.
O pesquisador de segurança Alexander Peslyak, conhecido pelo pseudônimo Photo voltaic Designer, foi creditado por descobrir e relatar o bug, que foi encontrado durante uma revisão do CVE-2024-6387 após este último ter sido divulgado pela Qualys no início deste mês.
“A principal diferença em relação ao CVE-2024-6387 é que a condição de corrida e o potencial RCE são acionados no processo filho privsep, que é executado com privilégios reduzidos em comparação ao processo do servidor pai”, disse Peslyak.
“Então o impacto imediato é menor. No entanto, pode haver diferenças na capacidade de exploração dessas vulnerabilidades em um cenário específico, o que pode tornar qualquer uma delas uma escolha mais atraente para um invasor, e se apenas uma delas for corrigida ou mitigada, a outra se torna mais relevante.”
No entanto, vale a pena notar que a vulnerabilidade de condição de corrida do manipulador de sinal é a mesma do CVE-2024-6387, em que se um cliente não for autenticado dentro de LoginGraceTime segundos (120 por padrão), o manipulador SIGALRM do processo daemon OpenSSH será chamado de forma assíncrona, o que invoca várias funções que não são seguras para sinais assíncronos.
“Esse problema o deixa vulnerável a uma condição de corrida do manipulador de sinal na função cleanup_exit(), que introduz a mesma vulnerabilidade que CVE-2024-6387 no filho sem privilégios do servidor SSHD”, de acordo com a descrição da vulnerabilidade.
“Como consequência de um ataque bem-sucedido, no pior cenário, o invasor pode realizar uma execução remota de código (RCE) dentro de um usuário sem privilégios executando o servidor sshd.”
Um exploit ativo para CVE-2024-6387 foi detectado desde então, com um agente de ameaça desconhecido tendo como alvo servidores localizados principalmente na China.
“O vetor inicial deste ataque se origina do endereço IP 108.174.58(.)28, que hospeda um diretório que lista ferramentas de exploração e scripts para automatizar a exploração de servidores SSH vulneráveis”, disse a empresa israelense de segurança cibernética Veriti.
