- -
Manuales de las Aplicaciones Corporativas

Accesos directos de espacio

Árbol de páginas

El 1 de julio de 2024 se publicó información de la vulnerabilidad de alto impacto CVE-2024-6387, de manera coordinada con la publicación de los parches que la soluciona. Por el servicio afectado (el servicio de acceso remoto por ssh) y por la gravedad de la vulnerabilidad (la explotación permite ejecutar comandos y tomar control del equipo) es posible que esta vulnerabilidad tenga un alto impacto en un futuro próximo.

El CCN-CERT recomienda encarecidamente a usuarios y adminstradores de sistemas realizar las actualizaciones mencionadas (...)


Palabras clave; CVE-2024-6387, vulnerabilidad regreSSHion, vulnerabilidad en OpenSSH.

Aviso del CCN-CERT

Fuente; https://www.ccn-cert.cni.es/es/seguridad-al-dia/avisos-ccn-cert/12974-ccn-cert-av-10-24-actualizaciones-de-seguridad-en-openssh.html

¿Cuáles son los sistemas afectados?

Ubuntu

En equipos Ubuntu, los sistemas afectados son 22.04 LTS, 23.10 LTS and 24.04 LTS, en cambio versiones anteriores  14.04 LTS, 16.04 LTS, 18.04LTS and 20.04 LTS disponen de versiones antiguas de OpenSSH que no presentan esta vulnerabilidad. (Fuente: https://ubuntu.com/blog/ubuntu-regresshion-security-fix)


Versiones CORREGIDAS en Ubuntu;

Ubuntu 24.04

    openssh-client - 1:9.6p1-3ubuntu13.3
    openssh-server - 1:9.6p1-3ubuntu13.3

Ubuntu 23.10

    openssh-client - 1:9.3p1-1ubuntu3.6
    openssh-server - 1:9.3p1-1ubuntu3.6

Ubuntu 22.04

    openssh-client - 1:8.9p1-3ubuntu0.10
    openssh-server - 1:8.9p1-3ubuntu0.10

Información de interés sobre la vulnerabilidad en Ubuntu;

https://ubuntu.com/security/notices/USN-6859-1

https://ubuntu.com/blog/ubuntu-regresshion-security-fix

https://ubuntu.com/security/CVE-2024-6387

Debian

La versión corregida es la 1:9.2p1-2+deb12u3. Cuidado porque la versión que cambia un único dígito; 1:9.2p1-2+deb12u2 sí que es vulnerable;

Fuente; https://security-tracker.debian.org/tracker/CVE-2024-6387 

Linux Mint

Al estar basado en Debian la vulnerabilidad se resuelve en la misma versión del apartado anterior;

  • OpenSSH_9.2p1 Debian-2+deb12u3      RESUELTA
  • OpenSSH_9.2p1 Debian-2+deb12u2      NO RESUELTA

Oracle Linux 9

La vulnerabilidad se resuelve en el paquete 8.7p1-38.0.2.  Fuente; https://linux.oracle.com/errata/ELSA-2024-12468.html

Rocky 9

La vulnerabilidad se resuelve en openssh-8.7p1-38.el9_4.1. Fuente: https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression

Distribuciones Linux

Las distribuciones Linux (que no sean Ubuntu) con el paquete OpenSSH son vulnerables las siguientes versiones;

Versiones vulnerables (Linux no Ubuntu, no Debian)

Son vulnerables desde la versión 8.5p1 (vulnerable) hasta la versión anterior a la 9.7p1 (no vulnerable)

No son vulnerables de la versión 9.7p1 (incluida) en adelante.

Distribuciones basadas en OpenBSD

Por otras medidas presentes en el sistema operativo OpenBSD el software OpenSSH de estos equipos no está afectado, en cualquier versión.

MacOs Sonoma (v14), Ventura (v13), Monterey (v12)

ACTUALIZACIÓN 11 DE SEPTIEMBRE 2024:

El día 29 de julio de 2024 Apple publicó actualizaciones para los sistemas operativos Mac. En estas actualizaciones se indica expresamente la resolución de esta vulnerabilidad de OpenSSH. Se asumirá la hipótesis inversa aunque no se indica expresamente; que los Macs no actualizados se considerarán vulnerables a este problema.

Versiones de Mac con vulnerabilidad resuelta

MacOS Sonoma 14.6

MacOS Ventura 13.6.8

MacOS Monterey 12.7.6

Otras versiones anteriores se considerarán vulnerables.

Sistemas Mac con versiones anteriores deberán desinstalar SSH o realizar alguna de las medidas que se indican en el apartado siguiente.

Fuentes;


INFORMACION OBSOLETA:

En el momento de escribir estas líneas, Apple no ha incorporado la resolución de la vulnerabilidad en las últimas actualizaciones. https://forums.developer.apple.com/forums/thread/758595 

Se podrá comprobar si la vulnerabilidad está corregida en la página de la documentación de actualizaciones, buscando el CVE CVE-2024-6387. https://support.apple.com/en-us/HT214106

Mientras el sistema no disponga de la corrección, se recomienda deshabilitar el servicio SSH en el MacOs; Guía; https://pimylifeup.com/mac-enable-ssh/

POSIBLE ALTERNATIVA; desinstalar el paquete openssh "oficial" distribuido con macos e instalar a través de un gestor de paquetes de terceros (homebrew, scoop,...) una versión corregida de OpenSSH.

POSIBLE ALTERNATIVA; restringir por firewall el acceso a ssh sólo desde unas poquitas ips autorizadas.

POSIBLE ALTERNATIVA; véase la medida de mitigación.

¡NOTA! En algunos foros se dice que la vulnerabilidad no afecta a MacOs. En realidad no está claro, los expertos de seguridad que descubrieron la vulnerabilidad se centraron en sistemas linux de 32 bits. Hará falta una investigación detallada tanto para descartar como para confirmar si afecta a Mac o no. En estos momentos no he encontrado ningún análisis serio de este asunto.

Vmware ESXi 

Actualmente, a fecha de 10 de octubre de 2024, la compañía no confirma ni descarta el impacto de la vulnerabilidad. Pero, según  https://knowledge.broadcom.com/external/article/371126 

  • Ha resuelto la vulnerabilidad en ESXi 8.0.3b  y en vCenter Server 8.0.3b
  • Para el resto de equipos recomienda deshabilitar SSH en los entornos de producción.

¿Cómo se soluciona?

Todas las distribuciones Linux con soporte vigente actualmente disponen de un parche para la vulnerabilidad. Para estos casos la solución más sencilla consiste en actualizar

Recuerde

Después de actualizar recuerde reiniciar el servicio sshd.


Para los sistemas que no se pueden actualizar existe una medida de mitigación, véase el apartado de mitigación en esta misma página.

Medidas de mitigación

Fuente; https://ubuntu.com/security/CVE-2024-6387

Set LoginGraceTime to 0 in /etc/ssh/sshd_config. This makes sshd
vulnerable to a denial of service (the exhaustion of all MaxStartups
connections), but it makes it safe from this vulnerability.

Buenas prácticas de seguridad 

  • Restricción del acceso al servicio SSH desde determinadas IPs autorizadas.
  • Mecanismos de autenticación fuerte;
    • 2FA en SSH
    • Autenticación por pares de clave pública y privada.
  • Se desaconseja la autenticación por usuario y contraseña.
  • IPS a nivel de host; auditoría y baneo de peticiones abusivas y maliciosas realizadas al servicio SSH (fail2ban).




¿Crees que esta información es errónea u obsoleta? Comunícanoslo aquí           Gregal



  • Sin etiquetas

Área de Sistemas de Información y Comunicaciones