Introdução
Em 1 de julho de 2024, pesquisadores da Qualys revelaram detalhes sobre uma vulnerabilidade crítica de execução remota de código (RCE) não autenticada no servidor OpenSSH. Essa falha permite que invasores executem código como root em sistemas Linux, representando um risco significativo para a segurança das infraestruturas que utilizam esse serviço. A vulnerabilidade, identificada como CVE-2024-6387, é uma regressão de um problema anterior (CVE-2006-5051) corrigido há quase 18 anos.
Descrição da Vulnerabilidade
A vulnerabilidade crítica no OpenSSH, designada CVE-2024-6387, resulta de uma condição de corrida no manipulador de sinais. Quando um usuário não faz login dentro do intervalo de tempo definido por LoginGraceTime (padrão de 600 segundos), o daemon sshd recebe um sinal SIGALRM de forma assíncrona. Invasores podem explorar essa situação para utilizar funções não seguras para sinais assíncronos, como syslog().
Análise Técnica
Essa vulnerabilidade é caracterizada pela manipulação inadequada de sinais assíncronos, levando a uma condição de corrida. Quando o sshd recebe um SIGALRM durante o processo de login, funções não seguras para uso em manipuladores de sinais, como syslog(), podem ser chamadas de forma imprópria, permitindo que um invasor insira código malicioso que é executado com privilégios de root.
Versões Vulneráveis
As versões vulneráveis do OpenSSH são:
- Versões anteriores a 4.4p1
- Versões 8.5p1 até, mas não incluindo 9.8p1
As versões entre 4.4p1 e 8.5p1 não são vulneráveis devido a um patch aplicado para o CVE-2006-5051. Sistemas OpenBSD não são afetados devido aos mecanismos de segurança incluídos desde 2001.
Táticas, Técnicas e Procedimentos (TTPs) do MITRE ATT&CK
Os seguintes TTPs do MITRE ATT&CK são relevantes para essa vulnerabilidade:
T1071 - Application Layer Protocol: Invasores podem explorar a vulnerabilidade utilizando protocolos comuns de aplicação, como SSH, para se comunicar com sistemas comprometidos e exfiltrar dados.
T1059 - Command and Scripting Interpreter: Após explorar a vulnerabilidade, invasores podem utilizar interpretadores de comandos e scripts (por exemplo, bash) para executar comandos maliciosos com privilégios elevados.
T1211 - Exploitation for Defense Evasion: A exploração dessa vulnerabilidade pode permitir que invasores evitem mecanismos de defesa do sistema, como firewalls e sistemas de detecção de intrusão.
T1548 - Abuse Elevation Control Mechanism: A falha permite que invasores elevem seus privilégios no sistema, obtendo acesso root.
T1055 - Process Injection: Exploitar a vulnerabilidade pode envolver a injeção de código malicioso em processos legítimos do sistema.
Exploração da Vulnerabilidade
Invasores podem explorar essa vulnerabilidade enviando solicitações de login maliciosas que desencadeiam a condição de corrida no sshd. Utilizando ferramentas automatizadas ou scripts personalizados, os atacantes podem manipular o tempo das requisições para garantir que o SIGALRM seja recebido no momento certo, permitindo a execução de código malicioso com privilégios de root.
Impacto do Ataque
Caso não seja mitigada, essa vulnerabilidade pode resultar em um ataque de execução remota de código, onde um invasor pode obter acesso total ao sistema, executar comandos como root e comprometer a integridade, confidencialidade e disponibilidade do sistema afetado.
Ataque Externo
Se o serviço OpenSSH estiver exposto externamente, a severidade do ataque aumenta significativamente. Invasores remotos podem explorar a vulnerabilidade para ganhar acesso não autorizado ao sistema, possibilitando o comprometimento de dados sensíveis e a execução de operações maliciosas.
Ataque Interno
Mesmo se o serviço OpenSSH estiver restrito a acessos internos, a vulnerabilidade ainda representa um risco grave. Um invasor interno ou alguém com acesso à rede interna pode explorar a falha para elevar privilégios e comprometer outros sistemas na mesma rede.
Avaliação CVSS
A Pontuação de Vulnerabilidade Comum (CVSS) ajuda a quantificar a severidade das vulnerabilidades. Vamos calcular a pontuação CVSS para essa vulnerabilidade considerando os cenários externo e interno.
Vetor Base CVSS:
- Vetor de Ataque (AV): Rede (N)
- Complexidade do Ataque (AC): Baixa (L)
- Privilégios Necessários (PR): Nenhum (N)
- Interação do Usuário (UI): Nenhuma (N)
- Impacto na Confidencialidade (C): Alto (H)
- Impacto na Integridade (I): Alto (H)
- Impacto na Disponibilidade (A): Alto (H)
Pontuação CVSS:
- Externo: 10.0 (Crítico)
- Interno: 9.8 (Crítico)
Mitigação
A mitigação ideal é aplicar os patches fornecidos pelos mantenedores do OpenSSH assim que estiverem disponíveis para sua distribuição específica. Até então, recomenda-se:
Limitar o Acesso ao SSH:
- Utilize controles baseados em rede para restringir o acesso ao serviço SSH.
- Monitore as conexões SSH, especialmente aquelas expostas à Internet.
Ajustar Configurações de Segurança:
- Configure
LoginGraceTimepara um valor mais seguro, se aplicável. - Revise e restrinja permissões de acesso SSH.
- Configure
Monitoramento e Resposta:
- Implemente monitoramento contínuo para detectar tentativas de exploração.
- Prepare um plano de resposta a incidentes para lidar com potenciais compromissos.
Conclusão
A vulnerabilidade CVE-2024-6387 no OpenSSH destaca a importância de manter uma postura de segurança proativa e de estar sempre atualizado com patches de segurança. A falha permite que invasores executem código com privilégios elevados, representando um risco crítico tanto para sistemas expostos externamente quanto internamente. A aplicação de patches, junto com medidas de mitigação e monitoramento, são cruciais para proteger as infraestruturas contra essa ameaça.
Nenhum comentário:
Postar um comentário
Observação: somente um membro deste blog pode postar um comentário.