Desde el CERT del SOC de la Junta de Andalucía les informamos de que recientemente se han hecho públicos los detalles de una vulnerabilidad crítica en el servidor OpenSSH:

• CVE-2024-6387 - (OpenSSH Server Remote Code Execution): la vulnerabilidad, conocida como regreSSHion, es en realidad una regresión de una vulnerabilidad previamente parcheada y corregida hace años, el CVE-2006-5051. La explotación exitosa de esta vulnerabilidad podría permitir a un atacante remoto no autenticado ejecutar código arbitrario en los sistemas afectados.

Desde el CERT del SOC de la Junta de Andalucía debemos indicarles que ya existen pruebas de concepto para explotar esa vulnerabilidad, por lo que se espera que en breve comience a ser activamente explotada por los cibercriminales.

Productos afectados:

• OpenSSH 8.5p1 y superiores hasta la versión 9.7p1
• Todas las versiones de OpenSSH hasta la 4.4p1, que ya no reciben soporte.

NOTA: Las versiones comprendidas entre 4.4p1 y 8.5p1 no son vulnerables.

Debido al riesgo potencial que presenta esta vulnerabilidad, desde el CERT del SOC de la Junta de Andalucía se recomienda:

• Actualizar los sistemas siguiendo las indicaciones que proporciona el desarrollador del producto. En particular, actualizar a la versión 9.8p1 o superior.

Así mismo, les recomendamos:

• Segmentar las redes y limitar la exposición de servicios SSH, siendo lo ideal que únicamente estuvieran accesibles desde el direccionamiento de administradores de sistemas autorizados.
• Habilitar mecanismos de autenticación multifactor (MFA) en el acceso a sus sistemas.
• Establecer mecanismos de bloqueo temporal de un origen tras varios intentos de autenticación fallidos.
• Monitorizar los accesos SSH a sus sistemas, prestando especial atención a los intentos de autenticación no exitosos.

Posibles mitigaciones:

• Si no es posible actualizar de forma inmediata se recomienda establecer la variable 'LoginGraceTime' a 0. Esta acción fija el tiempo durante el cual un intento de inicio de sesión puede 'esperar' a cero, haciendo imposible la explotación de la vulnerabilidad.
• NOTA: Esta medida podría provocar que el proceso sshd se volviera sensible a denegaciones de servicio.

Pueden encontrar más información en los siguientes enlaces:

• OpenSSH Release Notes for 9.8p1: https://www.openssh.com/txt/release-9.8
• Aviso emitido por el CCN-CERT: https://www.ccn-cert.cni.es/es/seguridad-al-dia/avisos-ccn-cert/12974-ccn-cert-av-10-24-actualizaciones-de-seguridad-en-openssh.html
• NIST: https://nvd.nist.gov/vuln/detail/CVE-2024-6387

Si tuviesen alguna duda al respecto no duden en ponerse en contacto con nuestro equipo.