Nuevo RCE en OpenSSH: Impacto en la Ciberseguridad

Explora la reciente vulnerabilidad en OpenSSH y su potencial efecto en la ciberseguridad. OpenSSH es compatible con varias tecnologías de cifrado y es estándar en múltiples sistemas similares a Unix, incluidos macOS y Linux.

Entendiendo la vulnerabilidad RCE de OpenSSH

La reciente vulnerabilidad descubierta por la Unidad de Investigación de Amenazas de Qualys (TRU) ha puesto de manifiesto un grave fallo de seguridad en OpenSSH, un componente vital para la comunicación segura a través de redes no seguras.

Esta vulnerabilidad, identificada como CVE-2024-6387, permite a un atacante ejecutar código de manera remota sin autenticación previa (RCE), lo que genera un potencial de daño extremadamente alto, dado que el ataque se puede realizar con privilegios de root.

Actualmente afecta a la versión de OpenSSH 8.5p1 y otras posteriores, y su gravedad radica en la habilidad de explotarla en su configuración por defecto. Es imperativo que los administradores de sistemas comprendan a fondo esta amenaza para poder actuar en consecuencia y proteger sus entornos.

La magnitud del riesgo: Análisis de impacto en la ciberseguridad

El alcance de esta vulnerabilidad es alarmante, con más de 14 millones de instancias de OpenSSH potencialmente afectadas tan solo considerando aquellas expuestas a Internet. Según los datos proporcionados por Qualys CSAM 3.0, cerca de 700.000 de estas instancias son accesibles desde fuera y están en peligro. Esto representa aproximadamente el 31% del total de instancias de OpenSSH utilizadas por los clientes globales de la firma.

La situación se agrava si tenemos en cuenta que un porcentaje, aunque pequeño, de estas instancias vulnerables está ejecutando versiones de OpenSSH que han llegado a su fin de vida útil y ya no reciben soporte. Estas circunstancias destacan la importancia de mantener actualizados los sistemas y el software para mitigar los riesgos asociados a vulnerabilidades de seguridad.

Versiones afectadas de OpenSSH:

• Las versiones de OpenSSH anteriores a 4.4p1 son vulnerables a esta condición de carrera del controlador de señales a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109.

• Las versiones desde 4.4p1 hasta, pero sin incluir, 8.5p1 no son vulnerables debido a un parche transformador para CVE-2006-5051, que hizo que una función previamente insegura fuera segura.

• La vulnerabilidad reaparece en las versiones desde 8.5p1 hasta, pero no incluyendo, 9,8p1 debido a la eliminación accidental de un componente crítico en una función.

Los sistemas OpenBSD no se ven afectados por este error, ya que OpenBSD desarrolló un mecanismo seguro en 2001 que evita esta vulnerabilidad.

Medidas urgentes de mitigación para administradores de sistemas

Ante una amenaza de tal magnitud, es crucial tomar medidas inmediatas para salvaguardar los sistemas afectados. Los administradores de sistemas deben priorizar la aplicación de parches de seguridad tan pronto como estén disponibles.

Además, se recomienda realizar una revisión de las configuraciones de OpenSSH para limitar el acceso, restringiendo las conexiones innecesarias y utilizando medidas de autenticación robustas.

A continuación, entregamos recomendaciones estratégicas para que las empresas se protejan contra esta amenaza:

1. Gestión de parches: aplique rápidamente los parches disponibles para OpenSSH y priorice los procesos de actualización en curso.
2. Control de acceso mejorado: Limite el acceso SSH a través de controles basados en la red para minimizar los riesgos de ataque.
3. Segmentación de redes y detección de intrusiones: Divida las redes para restringir el acceso no autorizado y los movimientos laterales dentro de entornos críticos e implemente sistemas para monitorear y alertar sobre actividades inusuales indicativas de intentos de explotación.

¿Qué pueden hacer nuestros Servicios Administrados por tu empresa?

Para nuestros clientes con Servicios Administrados, Widefense realiza las siguientes acciones frente a ataques:

• Protección proactiva: Nuestro equipo de Detección y Respuesta identifica y bloquea cualquier actividad maliciosa antes de que pueda causar daños.
• Respuesta rápida: Servicios Administrados genera una respuesta rápida y efectiva frente a ataques. Nuestros procesos de respuesta funcionan de forma inmediata para identificar y minimizar el impacto de la amenaza.
• Actualizaciones de seguridad: La gestión regular de actualizaciones hace frente a las amenazas emergentes. Estas actualizaciones pueden incluir parches de seguridad para sistemas operativos y aplicaciones, con el objetivo de disminuir las vulnerabilidades de los sistemas y disminuir los alcances y probabilidad de que ocurran estos ataques.

Fuentes

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server