Vulnerabilità RCE in OpenSSH: Come Mitigare i Rischi e Proteggere le Aziende
Il team di ricerca sulle minacce di Qualys (TRU) ha scoperto una vulnerabilità di esecuzione remota di codice non autenticata (RCE) nel server OpenSSH (sshd) sui sistemi Linux basati su glibc. La vulnerabilità, identificata come CVE-2024-6387, presenta un rischio significativo per la sicurezza poiché consente l’esecuzione di codice remoto non autenticato con privilegi di root.
Rischi e Impatti
Questa vulnerabilità è causata da una condizione di race1 nel gestore di segnali di OpenSSH. Una condizione di race si verifica quando due o più processi accedono a una risorsa condivisa, come la memoria, contemporaneamente, e il risultato dell’esecuzione dipende dall’ordine in cui accedono alla risorsa. Nel contesto di OpenSSH, questo può permettere a un attaccante di manipolare il comportamento del server in modi imprevisti.
Impatto della Vulnerabilità
La vulnerabilità riguarda la configurazione predefinita di sshd (il server OpenSSH) su sistemi Linux basati su glibc. Se sfruttata, consente a un attaccante non autenticato di eseguire codice arbitrario con privilegi di root, ovvero con i massimi privilegi sul sistema. Questo significa che l’attaccante può:
- Ottenere il Controllo Completo del Sistema: L’attaccante può eseguire qualsiasi comando come se fosse l’amministratore del sistema, accedendo e modificando qualsiasi file o configurazione.
- Installare Malware: Può installare software malevolo che esegue azioni dannose come il furto di dati, la registrazione delle attività dell’utente o il danneggiamento del sistema.
- Manipolare Dati: Può alterare, eliminare o rubare dati sensibili, compromettendo l’integrità e la riservatezza delle informazioni.
- Creare Backdoor: Può installare porte di accesso nascoste che permettono di rientrare nel sistema anche dopo che la vulnerabilità principale è stata risolta, garantendo un accesso persistente per futuri attacchi.
Perché è pericolosa
La combinazione di accesso remoto non autenticato e la possibilità di ottenere privilegi di root rende questa vulnerabilità estremamente pericolosa. Non richiede che l’attaccante sia già in possesso di credenziali o abbia accesso preliminare al sistema. Basta che il sistema sia esposto a Internet e abbia una versione vulnerabile di OpenSSH per essere a rischio.
Misure di Sicurezza
Per proteggersi da questa vulnerabilità, è fondamentale:
- Applicare le Patch Disponibili: Aggiornare subito OpenSSH alle versioni più recenti che includono le correzioni per questa vulnerabilità.
- Limitare l’Accesso SSH: Utilizzare controlli basati sulla rete per restringere l’accesso SSH solo a utenti e indirizzi IP autorizzati.
- Implementare Misure di Rilevamento delle Intrusioni: Monitorare il sistema per rilevare e rispondere tempestivamente a tentativi di sfruttamento della vulnerabilità.
Diffusione e Portata
Secondo le ricerche effettuate con Censys e Shodan, sono stati identificati oltre 14 milioni di server OpenSSH potenzialmente vulnerabili esposti su Internet. Dai dati anonimi di Qualys CSAM 3.0 con gestione della superficie di attacco esterna, circa 700.000 istanze sono vulnerabili, rappresentando il 31% di tutte le istanze con OpenSSH della nostra base clienti globale.
Rigressione della Vulnerabilità
Questa vulnerabilità è una regressione di una precedente vulnerabilità risolta (CVE-2006-5051), introdotta nuovamente in ottobre 2020 con OpenSSH 8.5p1. Qualys ha sviluppato un exploit funzionante per questa vulnerabilità, dimostrato con successo al team di OpenSSH per aiutarli nella comprensione e risoluzione del problema.
“Questa vulnerabilità, se sfruttata, potrebbe portare a un completo compromesso del sistema in cui un utente malintenzionato può eseguire codice arbitrario con i più alti privilegi, con conseguente acquisizione del sistema completo, installazione di malware, manipolazione dei dati, e la creazione di backdoor per l’accesso persistente. Potrebbe facilitare la propagazione della rete, consentendo agli aggressori di utilizzare un sistema compromesso come punto d’appoggio per attraversare e sfruttare altri sistemi vulnerabili all’interno dell’organizzazione.”
Qualys
Versioni di OpenSSH Interessate
- Versioni di OpenSSH precedenti alla 4.4p1, a meno che non siano state patchate per CVE-2006-5051 e CVE-2008-4109.
- Versioni dalla 4.4p1 fino alla 8.5p1 non sono vulnerabili grazie a una patch trasformativa per CVE-2006-5051.
- La vulnerabilità riemerge nelle versioni dalla 8.5p1 fino alla 9.8p1.
Misure di Mitigazione
Per affrontare questa vulnerabilità, è essenziale adottare un approccio di sicurezza multilivello:
- Gestione delle Patch: Applicare rapidamente le patch disponibili per OpenSSH.
- Controllo degli Accessi: Limitare l’accesso SSH tramite controlli basati su rete.
- Segmentazione della Rete e Rilevamento delle Intrusioni: Dividere le reti per restringere l’accesso non autorizzato e implementare sistemi di monitoraggio per rilevare attività sospette.
Come VXSP Può Aiutare
Come Euro Informatica, offriamo il servizio VXSP, che utilizza la tecnologia Qualys per fornire monitoraggio delle minacce e installazione rapida delle patch. VXSP consente alle aziende di identificare rapidamente le vulnerabilità, applicare le patch necessarie e migliorare la loro postura di sicurezza complessiva. Con VXSP, garantiamo una protezione continua contro le minacce emergenti, mantenendo i sistemi aziendali sempre aggiornati e sicuri.
Come Qualys Può Aiutare
Qualys, come partner di fiducia nella sicurezza, offre strumenti avanzati per la gestione delle vulnerabilità e la mitigazione dei rischi. Con Qualys CyberSecurity Asset Management (CSAM) 3.0 e Qualys Vulnerability Management, Detection, and Response (VMDR), le aziende possono identificare rapidamente e rispondere a questa minaccia, proteggendo i loro sistemi e dati sensibili.
Per ulteriori dettagli tecnici sulla vulnerabilità, visitate il link di Qualys.
Conclusione
Come esperti di sicurezza e partner di Qualys, siamo pronti ad aiutare le aziende italiane a identificare e mitigare questa vulnerabilità critica in OpenSSH, proteggendo i loro sistemi da potenziali attacchi e garantendo la sicurezza delle loro infrastrutture IT. Contattateci per una consulenza personalizzata e scoprite come possiamo supportare la vostra azienda nel rafforzare la sicurezza informatica.
- Cos’è una Condizione di Race?
Una condizione di race (o race condition) è una situazione in cui il comportamento e l’esito di un sistema dipendono dal relativo timing o dall’ordine di esecuzione di due o più operazioni concorrenti. Questa situazione può portare a risultati imprevedibili o indesiderati, poiché le operazioni si “corrono” per accedere o modificare una risorsa condivisa come memoria, file o altre variabili critiche.
Dettagli della Condizione di Race
Concurrency: La condizione di race si verifica in sistemi che supportano l’esecuzione concorrente di processi o thread. Questo è comune in ambienti multi-threaded o nei sistemi operativi che gestiscono più processi contemporaneamente.
Risorsa Condivisa: La risorsa condivisa è un elemento del sistema (ad esempio, variabili di memoria, file, database) a cui accedono più processi o thread. Se non gestita correttamente, questa risorsa può diventare il punto di contesa tra le operazioni concorrenti.
Sincronizzazione Mancante: La mancanza di sincronizzazione adeguata significa che non ci sono meccanismi di controllo per assicurarsi che le operazioni sulla risorsa condivisa avvengano in un ordine prevedibile. Meccanismi come i lock, i semafori e le barriere possono essere utilizzati per prevenire le condizioni di race, ma la loro assenza o implementazione errata può causare problemi. ↩︎
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!