Miembros
Miembros
El 3 de julio la Unidad de Investigación de Amenazas (TRU) de Qualys reveló una vulnerabilidad en el software de servidor de la herramienta OpenSSH, la implementación del protocolo SSH (que permite el acceso remoto seguro a dispositivos en Internet) más utilizada en los sistemas operativos Linux. Esta vulnerabilidad, que ha sido bautizada como RegreSSHion, y con código CVE (Common Vulnerabilities and Exposures, un programa de la organización Mitre que identifica, define y cataloga vulnerabilidades de ciberseguridad) CVE-2024-6387, permite la ejecución remota de código no autenticado en todos los dispositivos vulnerables.
Más del 30% de las máquinas expuestas directamente a Internet eran inicialmente vulnerables debido a la versión de OpenSSH utilizada. Esta vulnerabilidad afecta a las versiones anteriores a la 4.4p1 y a las versiones desde la 8.5p1 hasta la 9.7p1.
Si se explota, esta vulnerabilidad puede llevar al compromiso completo de un sistema al permitir a un atacante ejecutar código arbitrario con privilegios, pudiendo así instalar malware, alterar o borrar datos y crear un acceso persistente al sistema. También puede facilitar el acceso al resto de la red estableciendo un sistema comprometido dentro de ella.
Debido a la posibilidad de ejecutarse con privilegios administrativos, los atacantes pueden evitar diferentes mecanismos de seguridad, como cortafuegos, sistemas de detección de intrusos o registros, lo que les permite operar sin dejar constancia de sus actividades maliciosas, y obtener acceso y exfiltrar datos.
La explotación de esta vulnerabilidad se basa en la explotación de una condición de carrera, causada por la llamada de un manejador de señales asíncrono, sigalarm, que normalmente se produce cuando un usuario excede el tiempo normal de autenticación. Esta llamada da lugar a funciones de gestión de memoria, pero, debido a la vulnerabilidad, esto se hace de forma insegura, lo que podría causar una violación de memoria y, por tanto, ejecutar código arbitrario.
La vulnerabilidad es muy difícil de aprovechar y sólo se ha explotado con éxito en sistemas de 32 bits. Aunque, en teoría, también es posible en sistemas de 64 bits, el número de direcciones de memoria es muy elevado, por lo que el proceso de explotación llevará necesariamente mucho tiempo, pero un atacante persistente y paciente podrá conseguir el acceso.
RegreSSHion
El nombre RegreSSHion deriva del hecho de que esta vulnerabilidad ya existía anteriormente (de ahí que las versiones anteriores a la 4.4p1 fueran vulnerables), y fue un cambio accidental realizado en la versión 8.5p1 el que la reintrodujo. Para proteger los sistemas de esta vulnerabilidad, se deben aplicar actualizaciones inmediatas a OpenSSH, limitar el acceso a través de SSH mediante controles de red, segmentar la red para evitar la progresión interna de un atacante e implementar sistemas de detección de intrusos.
El OpenSSH se utiliza para diversos fines, desde la gestión de servidores hasta la automatización de copias de seguridad y la concentración de registros de eventos de varias máquinas dentro de una organización, por lo que es muy común en los servidores.
Qualys
Qualys es una empresa líder en la industria de la ciberseguridad, especializada en ofrecer soluciones de seguridad y cumplimiento de normativas a nivel global. Con sede en Foster City, California, y presencia en todo el mundo, atiende a una amplia gama de clientes, incluyendo grandes corporaciones, instituciones gubernamentales y pequeñas y medianas empresas.
Fundada en 1999, Qualys ha evolucionado para convertirse en pionera en el ámbito de la seguridad en la nube. Actualmente se encarga de proporcionar una plataforma unificada que ayuda a las organizaciones a identificar, gestionar y remediar vulnerabilidades en sus entornos de TI.
Dentro de sus equipos incluye la Unidad de Investigación de Amenazas de Qualys, conocida como TRU (Threat Research Unit), dedicada a la identificación y análisis de amenazas cibernéticas emergentes, así como a proporcionar soluciones de seguridad que permitan a los clientes estar mejor preparados para detectar y responder a las amenazas.