- -
Manuales de las Aplicaciones Corporativas

Accesos directos de espacio

Árbol de páginas

Versiones comparadas

Versión anterior 7

changes.mady.by.user Beatriz De la Blanca Sanchez

Guardado el

comparado con

Nueva versión Actual

changes.mady.by.user Sergio Puche García

Guardado el

Clave

  • Se ha añadido esta línea.
  • Se ha eliminado esta línea.
  • El formato se ha cambiado.

El 1 de julio de 2024 se publicó información de la vulnerabilidad de alto impacto CVE-2024-6387, de manera coordinada con la publicación de los parches que la soluciona. Por el servicio afectado (el servicio de acceso remoto por ssh) y por la gravedad de la vulnerabilidad (la explotación permite ejecutar comandos y tomar control del equipo) es posible que esta vulnerabilidad tenga un alto impacto en un futuro próximo.

El CCN-CERT recomienda encarecidamente a usuarios y adminstradores de sistemas realizar las actualizaciones mencionadas (...)

Tabla de contenidos


Palabras clave; CVE-2024-6387, vulnerabilidad regreSSHion, vulnerabilidad en OpenSSH.

Aviso del CCN-CERT

Fuente; https://www.ccn-cert.cni.es/es/seguridad-al-dia/avisos-ccn-cert/12974-ccn-cert-av-10-24-actualizaciones-de-seguridad-en-openssh.html

¿Cuáles son los sistemas afectados?

...

Distribuciones basadas en OpenBSD

Por otras medidas presentes en el sistema operativo OpenBSD el software OpenSSH de estos equipos no está afectado, en cualquier versión.

Distribuciones Linux

Las distribuciones Linux (que no sean Ubuntu) con el paquete OpenSSH son vulnerables las siguientes versiones;

...

titleVersiones vulnerables (Linux no Ubuntu, no Debian)

Son vulnerables desde la versión 8.5p1 (vulnerable) hasta la versión 9.7p1 (no vulnerable)

...

Ubuntu

En equipos Ubuntu, los sistemas afectados son 22.04 LTS, 23.10 LTS and 24.04 LTS, en cambio versiones anteriores  14.04 LTS, 16.04 LTS, 18.04LTS and 20.04 LTS disponen de versiones antiguas de OpenSSH que no presentan esta vulnerabilidad. (Fuente: https://ubuntu.com/blog/ubuntu-regresshion-security-fix)

...

https://ubuntu.com/blog/ubuntu-regresshion-security-fix

https://ubuntu.com/security/CVE-2024-6387

Debian

La versión corregida es la 1:9.2p1-2+deb12u3. Cuidado porque la versión que cambia un único dígito; 1:9.2p1-2+deb12u2 sí que es vulnerable;

Fuente; https://security-tracker.debian.org/tracker/CVE-2024-6387 

Image Added

Linux Mint

Al estar basado en Debian la vulnerabilidad se resuelve en la misma versión del apartado anterior;

  • OpenSSH_9.2p1 Debian-2+deb12u3      RESUELTA
  • OpenSSH_9.2p1 Debian-2+deb12u2      NO RESUELTA

Oracle Linux 9

La vulnerabilidad se resuelve en el paquete 8.7p1-38.0.2.  Fuente; https://linux.oracle.com/errata/ELSA-2024-12468.html

Rocky 9

La vulnerabilidad se resuelve en openssh-8.7p1-38.el9_4.1. Fuente: https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression

Distribuciones Linux

Las distribuciones Linux (que no sean Ubuntu) con el paquete OpenSSH son vulnerables las siguientes versiones;

Advertencia
titleVersiones vulnerables (Linux no Ubuntu, no Debian)

Son vulnerables desde la versión 8.5p1 (vulnerable) hasta la versión anterior a la 9.7p1 (no vulnerable)

No son vulnerables de la versión 9.7p1 (incluida) en adelante.

Distribuciones basadas en OpenBSD

Por otras medidas presentes en el sistema operativo OpenBSD el software OpenSSH de estos equipos no está afectado, en cualquier versión.

MacOs Sonoma (v14)

...

, Ventura (v13), Monterey (v12)

ACTUALIZACIÓN 11 DE SEPTIEMBRE 2024:

El día 29 de julio de 2024 Apple publicó actualizaciones para los sistemas operativos Mac. En estas actualizaciones se indica expresamente la resolución de esta vulnerabilidad de OpenSSH. Se asumirá la hipótesis inversa aunque no se indica expresamente; que los Macs no actualizados se considerarán vulnerables a este problema.

Advertencia
titleVersiones de Mac con vulnerabilidad resuelta

MacOS Sonoma 14.6

MacOS Ventura 13.6.8

MacOS Monterey 12.7.6

Otras versiones anteriores se considerarán vulnerables.

Sistemas Mac con versiones anteriores deberán desinstalar SSH o realizar alguna de las medidas que se indican en el apartado siguiente.

Fuentes;


Image Added

INFORMACION OBSOLETA:

En el momento de escribir estas líneas, Apple no ha incorporado la resolución de la vulnerabilidad en las últimas actualizaciones. https://forums.developer.apple.com/forums/thread/758595 

Se podrá comprobar si la vulnerabilidad está corregida en la página de la documentación de actualizaciones, buscando el CVE CVE-2024-6387. https://support.apple.com/en-us/HT214106

Mientras el sistema no disponga de la corrección, se recomienda deshabilitar el servicio SSH en el MacOs; Guía; https://pimylifeup.com/mac-enable-ssh/

POSIBLE ALTERNATIVA; desinstalar el paquete openssh "oficial" distribuido con macos e instalar a través de un gestor de paquetes de terceros (homebrew, scoop,...) una versión corregida de OpenSSH.

POSIBLE ALTERNATIVA; restringir por firewall el acceso a ssh sólo desde unas poquitas ips autorizadas.

POSIBLE ALTERNATIVA; véase la medida de mitigación.

¡NOTA! En algunos foros se dice que la vulnerabilidad no afecta a MacOs. En realidad no está claro, los expertos de seguridad que descubrieron la vulnerabilidad se centraron en sistemas linux de 32 bits. Hará falta una investigación detallada tanto para descartar como para confirmar si afecta a Mac o no. En estos momentos no he encontrado ningún análisis serio de este asunto.

Vmware ESXi 

Actualmente, a fecha de 10 de octubre de 2024, la compañía no confirma ni descarta el impacto de la vulnerabilidad. Pero, según  https://knowledge.broadcom.com/external/article/371126 

  • Ha resuelto la vulnerabilidad en ESXi 8.0.3b  y en vCenter Server 8.0.3b
  • Para el resto de equipos recomienda deshabilitar SSH en los entornos de producción.

¿Cómo se soluciona?

Todas las distribuciones Linux con soporte vigente actualmente disponen de un parche para la vulnerabilidad. Para estos casos la solución más sencilla consiste en actualizar

Advertencia
titleRecuerde

Después de actualizar recuerde reiniciar el servicio sshd.


Para los sistemas que no se pueden actualizar existe una medida de mitigación, véase el apartado de mitigación en esta misma página.

Medidas de mitigación

Fuente; https://ubuntu.com/security/CVE-2024-6387

Set LoginGraceTime to 0 in /etc/ssh/sshd_config. This makes sshd
vulnerable to a denial of service (the exhaustion of all MaxStartups
connections), but it makes it safe from this vulnerability.

Cómo comprobar si mi sistema está afectado

Medidas de mitigación

Buenas prácticas de seguridad 

  • Restricción del acceso al servicio SSH desde determinadas IPs autorizadas.
  • Mecanismos de autenticación fuerte;
    • 2FA en SSH
    • Autenticación por pares de clave pública y privada.
  • Se desaconseja la autenticación por usuario y contraseña.
  • IPS a nivel de host; auditoría y baneo de peticiones abusivas y maliciosas realizadas al servicio SSH (fail2ban).




Incluir página
Pie de pagina manuales
Pie de pagina manuales