Akamai analizza la nuova vulnerabilità critica in OpenSSH

redazione

La vulnerabilità è causata da una race condition dovuta alla gestione non sicura dei segnali durante un timeout nell’autenticazione dell’utente. Un segnale SIGALRM interrompe un thread durante l’esecuzione di una routine di gestione dell’heap, che può portare all’esecuzione di codice arbitrario se il gestore del segnale chiama la stessa routine di gestione dell’heap.

Questa vulnerabilità colpisce diverse versioni di OpenSSH, incluse in molte distribuzioni Linux:

  • Vecchia vulnerabilità (CVE-2006-5051): versioni di OpenSSH precedenti alla 4.4/4.4p1 (2006-09-27), a meno che non siano state patchate per CVE-2006-5051 e CVE-2008-4109.
  • Regressione della vulnerabilità: introdotta in OpenSSH 8.5/8.5p1 (2021-03-03).
  • Versioni corrette: OpenSSH 9.8/9.8p1 (2024-07-01) e successive.

Dato che OpenSSH è ampiamente utilizzato, l’impatto è significativo, colpendo la maggior parte delle distribuzioni Linux. Tuttavia, diversi fattori riducono il rischio immediato:

  1. Limitazioni della PoC: attualmente, la PoC è efficace solo su computer x86. Lo sfruttamento su computer amd64 è più complesso a causa delle protezioni della memoria più robuste.
  2. Tempo di sfruttamento: sfruttare con successo la vulnerabilità richiede tempo prolungato e connessioni multiple, il che dovrebbe attivare i rilevatori di attacchi brute-force.
  3. Vettore di accesso iniziale: questa vulnerabilità è probabilmente utilizzata come punto di accesso iniziale da internet. La mitigazione include la segmentazione delle interfacce SSH esposte a internet (o l’utilizzo di jump box per il traffico SSH) per limitare il potenziale danno.

Strategie di mitigazione

La soluzione principale per mitigare questa vulnerabilità è aggiornare OpenSSH a una versione non vulnerabile. Poiché OpenSSH è generalmente incluso nelle distribuzioni Linux, l’aggiornamento dipende dal rilascio delle patch da parte del fornitore. Utilizzare la query Osquery fornita per rilevare gli asset vulnerabili e monitorarli nel tempo. I clienti di Akamai Guardicore Segmentation possono eseguire query per identificare ed etichettare gli asset in base ai risultati della query.

Dato che lo sfruttamento della vulnerabilità richiede tempo, è essenziale identificare e limitare l’accesso alle interfacce OpenSSH esposte a internet. Per i dispositivi che necessitano dell’accesso SSH da internet, è importante applicare la segmentazione della rete per limitare l’esposizione della rete interna.

Se le patch fossero in ritardo, è consigliabile aumentare la sensibilità degli allarmi sui workload vulnerabili e non patchati. Focalizzarsi sul rilevamento dei tentativi di brute-force, probabili indicatori di tentativi di sfruttamento. Regolare la sensibilità degli allarmi in base all’importanza del workload e al suo potenziale impatto.

Il blogpost di Akamai fornisce una panoramica della vulnerabilità critica regreSSHion in OpenSSH, inclusi background tecnico, versioni affette, impatto potenziale e strategie di mitigazione. È possibile utilizzare la query Osquery fornita per rilevare le versioni vulnerabili e adeguare le difese di rete di conseguenza.