Des chercheurs ont mis en garde contre une vulnérabilité critique affectant l’utilitaire réseau OpenSSH qui peut être exploitée pour donner aux attaquants le contrôle complet des serveurs Linux et Unix sans aucune authentification requise.
La vulnérabilité, identifiée comme CVE-2024-6387, permet l’exécution de code à distance non authentifié avec les droits du système racine sur les systèmes Linux basés sur glibc, une implémentation open source de la bibliothèque standard C. La vulnérabilité est le résultat d’une régression de code introduite en 2020 qui a réintroduit CVE-2006-5051, une vulnérabilité qui avait été corrigée en 2006. Avec des milliers, voire des millions, de serveurs vulnérables peuplant Internet, cette dernière vulnérabilité pourrait représenter un risque important.
Prise en charge complète du système
« Cette vulnérabilité, si elle est exploitée, pourrait compromettre l’intégralité du système et permettre à un attaquant d’exécuter du code arbitraire avec les privilèges les plus élevés, ce qui entraînerait une prise de contrôle complète du système, l’installation de logiciels malveillants, la manipulation des données et la création de portes dérobées pour un accès permanent », a écrit Bharat Jogi, directeur principal de la recherche sur les menaces chez Qualys, l’entreprise de sécurité qui l’a découverte. « Elle pourrait faciliter la propagation du réseau, permettant aux attaquants d’utiliser un système compromis comme point d’appui pour traverser et exploiter d’autres systèmes vulnérables au sein de l’entreprise. »
Le risque est en partie lié au rôle central joué par OpenSSH dans pratiquement tous les réseaux internes connectés à Internet. Il fournit aux administrateurs un canal pour se connecter à distance à des appareils protégés ou d’un appareil à un autre à l’intérieur du réseau. La capacité d’OpenSSH à prendre en charge plusieurs protocoles de chiffrement puissants, son intégration dans pratiquement tous les systèmes d’exploitation modernes et son emplacement au plus près des réseaux contribuent également à sa popularité.
Outre l’omniprésence des serveurs vulnérables sur Internet, la faille CVE-2024-6387 fournit également un moyen puissant d’exécuter du code malveillant avec les privilèges les plus élevés, sans authentification requise. La faille provient d’une mauvaise gestion du gestionnaire de signaux, un composant de glibc permettant de répondre à des événements potentiellement graves tels que des tentatives de division par zéro. Lorsqu’un périphérique client initie une connexion mais ne parvient pas à s’authentifier dans un délai imparti (120 secondes par défaut), les systèmes OpenSSH vulnérables appellent ce que l’on appelle un gestionnaire SIGALRM de manière asynchrone. La faille réside dans sshd, le moteur principal d’OpenSSH. Qualys a baptisé cette vulnérabilité regreSSHion.
La gravité de la menace posée par l’exploitation est importante, mais plusieurs facteurs sont susceptibles d’empêcher qu’elle ne soit exploitée en masse, selon les experts en sécurité. D’une part, l’attaque peut prendre jusqu’à huit heures et nécessiter jusqu’à 10 000 étapes d’authentification, a déclaré Stan Kaminsky, chercheur chez Kaspersky, une société de sécurité. Ce délai résulte d’une défense connue sous le nom de randomisation de la disposition de l’espace d’adressage, qui modifie les adresses mémoire où le code exécutable est stocké pour contrecarrer les tentatives d’exécution de charges utiles malveillantes.
D’autres limitations s’appliquent. Les attaquants doivent également connaître le système d’exploitation spécifique exécuté sur chaque serveur ciblé. Jusqu’à présent, personne n’a trouvé le moyen d’exploiter les systèmes 64 bits, car le nombre d’adresses mémoire disponibles est exponentiellement plus élevé que celui des systèmes 32 bits. Pour réduire encore davantage les chances de succès, les attaques par déni de service qui limitent le nombre de demandes de connexion entrant dans un système vulnérable empêcheront les tentatives d’exploitation de réussir.
Toutes ces limitations devraient empêcher l’exploitation massive de la faille CVE-2024-6387, ont indiqué les chercheurs, mais il existe toujours le risque d’attaques ciblées qui inondent un réseau spécifique d’intérêt de tentatives d’authentification pendant quelques jours avant d’autoriser l’exécution de code. Pour brouiller les pistes, les attaquants pourraient diffuser des requêtes via un grand nombre d’adresses IP d’une manière similaire aux attaques par pulvérisation de mots de passe. De cette façon, les attaquants pourraient cibler une poignée de réseaux vulnérables jusqu’à ce qu’une ou plusieurs des tentatives réussissent.
La vulnérabilité affecte les éléments suivants :
- Les versions d’OpenSSH antérieures à 4.4p1 sont vulnérables à cette condition de concurrence du gestionnaire de signaux, sauf si elles sont corrigées pour CVE-2006-5051 et CVE-2008-4109.
- Les versions de 4.4p1 à 8.5p1 non incluses ne sont pas vulnérables en raison d’un correctif transformateur pour CVE-2006-5051, qui a sécurisé une fonction auparavant non sécurisée.
- La vulnérabilité réapparaît dans les versions de 8.5p1 jusqu’à 9.8p1, mais sans l’inclure, en raison de la suppression accidentelle d’un composant critique dans une fonction.
Toute personne utilisant une version vulnérable doit effectuer la mise à jour dès que possible.