CVE-2024-6387aussi connu sous le nom régreSSHionest une vulnérabilité de sécurité critique dans le composant serveur d’OpenSSH (sshd) sur les systèmes Linux basés sur glibc. Cette faille permet exécution de code à distance (RCE) non authentifié avec les privilèges root, ce qui présente un risque important pour les systèmes concernés.
Dans cet article, nous expliquerons la vulnérabilité OpenSSH connue sous le nom de regreSSHion (CVE-2024-6387), détaillerons les étapes à suivre immédiatement, répertorierons les versions concernées et vous guiderons sur la façon de vérifier si votre système est vulnérable.
Qu’est-ce que CVE-2024-6387 (regreSSHion) ?
régreSSHion (CVE-2024-6387) est une vulnérabilité qui permet aux attaquants d’exécuter du code arbitraire sur un système cible sans avoir besoin de s’authentifier. Le nom regreSSHion met en évidence la nature de la faille en tant que bug de régression dans OpenSSH. Cela signifie qu’un attaquant peut obtenir un accès root complet au système, ce qui pourrait conduire à une compromission complète du système, au vol de données et à un accès non autorisé persistant.
- Type de vulnérabilité:Condition de course du gestionnaire de signaux sur le serveur OpenSSH (sshd).
- Systèmes concernés: systèmes Linux basés sur la glibc.
- Impact:Exécution de code à distance non authentifié avec des privilèges root.
- Configuration par défaut:La vulnérabilité affecte la configuration par défaut d’OpenSSH et ne nécessite pas d’interaction de l’utilisateur.
Le Unité de recherche sur les menaces Qualys (TRU) découvert que cette vulnérabilité est une régression d’une faille antérieure, CVE-2006-5051qui avait été corrigé précédemment. La régression s’est produite en raison de modifications ou de mises à jour effectuées en octobre 2020 avec la sortie de la version 8.5p1 d’OpenSSH, réintroduisant par inadvertance le problème. Cela fait de regreSSHion la première vulnérabilité RCE non authentifiée significative dans OpenSSH depuis près de deux décennies.
Exploitation
- Mécanisme:Si un client ne s’authentifie pas dans les 120 secondes (comme défini par le ConnexionGraceTime paramètre), sshd Gestionnaire SIGALRM est appelé de manière asynchrone d’une manière qui n’est pas sûre en termes de signal asynchrone.
- Exigences:L’attaque nécessite des connexions continues sur une période de 6 à 8 heures pour réussir dans des conditions de laboratoire, en particulier sur les systèmes Linux/glibc 32 bits avec randomisation de la disposition de l’espace d’adressage (ASLR).
Versions affectées par la vulnérabilité OpenSSH
- Versions antérieures à 4.4p1: Vulnérable sauf correctif pour CVE-2006-5051 et CVE-2008-4109.
- Versions de 4.4p1 à 8.5p1:Non vulnérable en raison d’un patch précédent.
- Versions de 8.5p1 à 9.7p1:Vulnérable en raison de la suppression accidentelle d’un composant de sécurité critique.
Que dois-tu faire maintenant ?
Pour atténuer les risques associés à regreSSHion (CVE-2024-6387), les utilisateurs doivent :
- Appliquer les derniers correctifs: Assurez-vous qu’OpenSSH est mis à jour vers la dernière version où la vulnérabilité est corrigée.
- Limiter l’accès SSH: utilisez des contrôles basés sur le réseau pour restreindre l’accès SSH.
- Appliquer la segmentation du réseau:Implémenter la segmentation pour limiter les accès non autorisés et les mouvements latéraux au sein du réseau.
Vérification de la version OpenSSH
Comment vérifier la version d’OpenSSH ? Il existe deux manières principales de vérifier votre version d’OpenSSH :
- En utilisant le
ssh -V
commande: C’est la manière la plus simple et la plus courante. Lessh
commande avec une majusculeV
flag affichera les informations de version du client OpenSSH installé sur votre système. Cela fonctionne sur Linux, macOS et même Windows avec OpenSSH installé. - Vérification de la version du serveur distant (le cas échéant) : Si vous souhaitez connaître la version du serveur OpenSSH exécuté sur une machine distante, vous pouvez utiliser le
ssh
commande avec le-v
flag (v minuscule) pour se connecter en mode verbeux. Cela affichera divers détails de connexion, y compris la version du serveur OpenSSH distant.
La vulnérabilité CVE-2024-6387 (regreSSHion) représente une menace importante en raison de sa capacité à autoriser l’exécution de code à distance non authentifié avec des privilèges root. La réapparition d’une telle vulnérabilité souligne l’importance de tests de régression rigoureux et d’une application rapide des correctifs de sécurité. En prenant des mesures proactives, les organisations peuvent protéger leurs systèmes des graves conséquences de cette vulnérabilité.
Toutes les images sont générées par Eray Eliaçık/Bing