Une faille de sécurité "critique" a été découverte dans OpenSSH, elle affecte la quasi-totalité des systèmes Linux et 14 millions de serveurs connectés à internet sont vulnérables

D'après Qualys

Des chercheurs de l'unité de recherche sur les menaces (TRU) de Qualys ont découvert une faille de sécurité critique dans le serveur OpenSSH (sshd) des systèmes Linux basés sur la glibc. Ils ont baptisé cette vulnérabilité "regreSSHion", car elle représente la réapparition d'un bogue qui avait été corrigé en 2006 (CVE-2006-5051). Elle est qualifiée de "critique".

La nouvelle vulnérabilité, désignée sous le nom de CVE-2024-6387, permet l'exécution de code à distance non authentifiée (RCE) dans le serveur OpenSSH (sshd) avec les privilèges de l'administrateur, ce qui constitue une menace sérieuse pour les systèmes concernés.

Un attaquant pourrait potentiellement prendre le contrôle complet du système affecté, en exécutant un code arbitraire avec les privilèges de l'administrateur. Cela pourrait permettre l'installation de logiciels malveillants, la création de portes dérobées et l'exfiltration ou la manipulation de données. En outre, l'obtention des privilèges de la racine pourrait permettre à l'intrus de désactiver ou de contourner des systèmes de sécurité critiques afin de maintenir une présence permanente.


Selon Bharat Jogi, directeur principal de Qualys TRU, dans un message publié sur le site Web de l'entreprise, « la vulnérabilité, qui est une situation de compétition au gestionnaire de signal dans le serveur OpenSSH (sshd), permet l'exécution de code à distance non authentifié (RCE) en tant que root sur les systèmes Linux basés sur la glibc, ce qui présente un risque important pour la sécurité. Cette situation de compétition affecte sshd dans sa configuration par défaut. »

Heureusement, cette situation de compétition n'est pas facile à exploiter et nécessite plusieurs tentatives pour réussir une attaque. « Cela peut entraîner une corruption de la mémoire et nécessiter de surmonter la distribution aléatoire de l'espace d'adressage (Address Space Layout Randomization, ASLR) ».

Néanmoins, selon les chercheurs, étant donné le risque posé par regreSHHion, les organisations devraient prendre des mesures immédiates pour localiser et sécuriser les systèmes vulnérables en appliquant des correctifs, en reconfigurant sshd et en segmentant les réseaux, dans la mesure du possible.

Sur la base de recherches effectuées à l'aide de Censys et de Shodan, l'unité de recherche sur les menaces (TRU) de Qualys identifié plus de 14 millions d'instances de serveurs OpenSSH potentiellement vulnérables et exposées à l'Internet. Les données anonymisées de Qualys CSAM 3.0 avec les données de gestion de la surface d'attaque externe révèlent qu'environ 700 000 instances externes orientées vers l'Internet sont vulnérables. Cela représente 31 % de toutes les instances OpenSSH tournées vers l'Internet dans leur base mondiale de clients. Il est intéressant de noter que plus de 0,14 % des instances vulnérables faisant face à l'internet avec le service OpenSSH ont une version d'OpenSSH en fin de vie/fin de support en cours.

Dans son analyse de sécurité, Qualys a identifié que cette vulnérabilité est une régression de la vulnérabilité CVE-2006-5051, qui avait été corrigée en 2006. Dans ce contexte, une régression signifie qu'une faille, une fois corrigée, est réapparue dans une version ultérieure du logiciel, généralement en raison de changements ou de mises à jour qui réintroduisent le problème par inadvertance. Cet incident met en évidence le rôle crucial des tests de régression pour empêcher la réintroduction de vulnérabilités connues dans l'environnement. Cette régression a été introduite en octobre 2020 (OpenSSH 8.5p1).

Qualys a développé un exploit fonctionnel pour la vulnérabilité regreSSHion. Dans le cadre du processus de divulgation, Qualys a démontré avec succès l'exploit à l'équipe OpenSSH afin de l'aider dans sa compréhension et ses efforts de remédiation. L'unité TRU de Qualys ne publie pas ses exploits, car elle doit laisser le temps aux correctifs d'être appliqués. Cependant, même si l'exploit est complexe, Qualys pense que d'autres chercheurs indépendants seront en mesure de reproduire les résultats.

À propos d'OpenSSH : sécuriser les communications et l'infrastructure des entreprises

OpenSSH (Open Secure Shell) est une suite d'utilitaires réseau...