Getty Images/iStockphoto

OpenSSH : une vulnérabilité susceptible d'affecter des millions de serveurs

L’exploitation de la vulnérabilité CVE-2024-6387, surnommée « regreSSHion » par Qualys, pourrait permettre aux attaquants de contourner les mesures de sécurité et d’obtenir un accès racine aux serveurs vulnérables.

Qualys a dévoilé une vulnérabilité critique dans OpenSSH, avertissant que plus de 14 millions de serveurs potentiellement vulnérables sont exposés sur Internet.

Dans un billet de blog publié lundi, Bharat Jogi, directeur senior de l’unité de recherche sur les menaces de Qualys, a détaillé une vulnérabilité d’exécution de code à distance sans authentification, référencée CVE-2024-6387, découverte dans le serveur OpenSSH sur les systèmes Linux basés sur glibc. Qualys a déterminé que la CVE-2024-6387 est une régression d’une vulnérabilité précédemment corrigée, référencée sous CVE-2006-5051, et pourrait permettre à un attaquant non authentifié d’exécuter du code à distance avec des privilèges root.

OpenSSH est largement utilisé pour chiffrer et sécuriser les communications telles que les transferts de fichiers, qui sont devenus une cible populaire pour les attaquants ces dernières années. Qualys décrit OpenSSH comme un « outil crucial pour les communications sécurisées ».

Cependant, l’utilisation étendue d’OpenSSH suscite désormais d’importantes préoccupations. Qualys a effectué des recherches via Censys et Shodan qui ont révélé plus de 14 millions de serveurs OpenSSH exposés sur Internet potentiellement vulnérables à la CVE-2024-6387, surnommée « regreSSHion » par le vendeur.

« Les données anonymisées de Qualys CSAM 3.0 avec les données de gestion de la surface d’attaque externe révèlent qu’environ 700 000 instances externes exposées à Internet sont vulnérables. Cela représente 31 % de toutes les instances exposées à Internet avec OpenSSH dans notre base de clients mondiale, » a écrit Bharat Jogi dans le billet de blog.

En outre, selon Bharat Jogi, plus de 0,14 % des instances vulnérables exécutent une version d’OpenSSH arrivée en fin de vie. Il a également averti les entreprises que la CVE-2024-6387 affecte les versions d’OpenSSH antérieures à 4.4p1, à moins qu’elles ne soient patchées pour les CVE-2006-5051 et CVE-2008-4109.

Le patching est crucial, car Qualys a découvert que l’exploitation pourrait conduire à une compromission complète du système et permettre à un attaquant d’installer des logiciels malveillants, de manipuler des données et de créer des portes dérobées pour maintenir un accès persistant à un environnement victime.

« De plus, obtenir un accès root permettrait aux attaquants de contourner les mécanismes de sécurité critiques tels que les pare-feu, les systèmes de détection d’intrusion et les mécanismes de journalisation, cachant davantage leurs activités. Cela pourrait également entraîner des violations de données importantes, donnant accès aux attaquants à toutes les données stockées sur le système, y compris des informations sensibles ou propriétaires qui pourraient être volées et divulguées publiquement », peut-on lire dans le billet.

Bonne nouvelle, toutefois, selon Qualys, la vulnérabilité est « difficile à exploiter » et nécessite plusieurs tentatives pour déployer une attaque réussie. De plus, Bharat Jogi a salué le bilan « exceptionnellement solide » d’OpenSSH en matière de sécurité logicielle, malgré regreSSHion.

Test de régression

Pour Qualys, cette récente vulnérabilité souligne que les problèmes peuvent survenir lorsque les tests de régression ne sont pas correctement effectués. La CVE-2024-6387 est une régression de la CVE-2006-5051, ce qui, selon Bharat Jogi, indique généralement que les changements ou mises à jour apportés dans les versions logicielles ultérieures ont involontairement réintroduit une vulnérabilité précédemment corrigée.

« Cet incident met en évidence le rôle crucial des tests de régression approfondis pour éviter la réintroduction de vulnérabilités connues dans l’environnement. Cette régression a été introduite en octobre 2020 (OpenSSH 8.5p1), » précise le billet.

Bharat Jogi estime probable que la vulnérabilité existe également sur les machines macOS et Windows. Les entreprises peuvent rechercher des tentatives d’exploitation en vérifiant leurs journaux pour plusieurs lignes de « Time before authentication ».

De plus, Qualys a « urgemment » conseillé aux entreprises de patcher. Bien que la correction fasse partie d’une mise à jour majeure d’OpenSSH, les utilisateurs peuvent mettre à jour vers la dernière version publiée lundi, qui est 9.8p1, ou appliquer une correction aux versions plus anciennes.

Les notes de version d’OpenSSH indiquent que la version corrigée a résolu la condition de concurrence dans le serveur OpenSSH (sshd). Le projet open source a qualifié la faille de critique, bien qu’aucun score CVSS n’ait été attribué pour le moment.

Bien qu’OpenSSH ait reconnu l’exploitation réussie de Qualys sur des systèmes Linux/glibc 32 bits et ait salué le fournisseur pour la découverte, il semble que d’autres versions pourraient également être concernées.

« L’exploitation sur des systèmes 64 bits est jugée possible, mais n’a pas été démontrée pour le moment. Il est probable que ces attaques seront améliorées, » écrit OpenSSH dans les notes de version. « L’exploitation sur des systèmes non-glibc est concevable, mais n’a pas été examinée. »

Jake Williams, un professionnel de la sécurité de l’information et membre du corps professoral de la recherche IANs, a noté dans un post sur X, anciennement Twitter, que l’exploitation n’a été prouvée que contre des versions x86 et non des serveurs x64. « C’est important, car trouver la bonne adresse à laquelle retourner en x64 est exponentiellement plus difficile en x64 qu’en x86, » souligne-t-il.

Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)

Close