El 1 de julio de 2024 se publicó información de la vulnerabilidad de alto impacto CVE-2024-6387, de manera coordinada con la publicación de los parches que la soluciona. Por el servicio afectado (el servicio de acceso remoto por ssh) y por la gravedad de la vulnerabilidad (la explotación permite ejecutar comandos y tomar control del equipo) es posible que esta vulnerabilidad tenga un alto impacto en un futuro próximo.

El CCN-CERT recomienda encarecidamente a usuarios y adminstradores de sistemas realizar las actualizaciones mencionadas (...)

Palabras clave; CVE-2024-6387, vulnerabilidad regreSSHion, vulnerabilidad en OpenSSH.

Aviso del CCN-CERT

Manuales de las Aplicaciones Corporativas > Julio 2024: Vulnerabilidad grave en OpenSSH (regreSSHion) > image-2024-7-4_12-41-0.png

Fuente; https://www.ccn-cert.cni.es/es/seguridad-al-dia/avisos-ccn-cert/12974-ccn-cert-av-10-24-actualizaciones-de-seguridad-en-openssh.html

¿Cuáles son los sistemas afectados?

Ubuntu

En equipos Ubuntu, los sistemas afectados son 22.04 LTS, 23.10 LTS and 24.04 LTS, en cambio versiones anteriores 14.04 LTS, 16.04 LTS, 18.04LTS and 20.04 LTS disponen de versiones antiguas de OpenSSH que no presentan esta vulnerabilidad. (Fuente: https://ubuntu.com/blog/ubuntu-regresshion-security-fix)

Versiones CORREGIDAS en Ubuntu;

Ubuntu 24.04

    openssh-client - 1:9.6p1-3ubuntu13.3
    openssh-server - 1:9.6p1-3ubuntu13.3

Ubuntu 23.10

    openssh-client - 1:9.3p1-1ubuntu3.6
    openssh-server - 1:9.3p1-1ubuntu3.6

Ubuntu 22.04

    openssh-client - 1:8.9p1-3ubuntu0.10
    openssh-server - 1:8.9p1-3ubuntu0.10

Información de interés sobre la vulnerabilidad en Ubuntu;

https://ubuntu.com/security/notices/USN-6859-1

https://ubuntu.com/blog/ubuntu-regresshion-security-fix

https://ubuntu.com/security/CVE-2024-6387

Debian

La versión corregida es la 1:9.2p1-2+deb12u3. Cuidado porque la versión que cambia un único dígito; 1:9.2p1-2+deb12u2 sí que es vulnerable;

Fuente; https://security-tracker.debian.org/tracker/CVE-2024-6387

Manuales de las Aplicaciones Corporativas > Julio 2024: Vulnerabilidad grave en OpenSSH (regreSSHion) > image-2024-7-4_13-32-36.png

Linux Mint

Al estar basado en Debian la vulnerabilidad se resuelve en la misma versión del apartado anterior;

OpenSSH_9.2p1 Debian-2+deb12u3 RESUELTA
OpenSSH_9.2p1 Debian-2+deb12u2 NO RESUELTA

Oracle Linux 9

La vulnerabilidad se resuelve en el paquete 8.7p1-38.0.2. Fuente; https://linux.oracle.com/errata/ELSA-2024-12468.html

Rocky 9

La vulnerabilidad se resuelve en openssh-8.7p1-38.el9_4.1. Fuente: https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression

Distribuciones Linux

Las distribuciones Linux (que no sean Ubuntu) con el paquete OpenSSH son vulnerables las siguientes versiones;

Son vulnerables desde la versión 8.5p1 (vulnerable) hasta la versión anterior a la 9.7p1 (no vulnerable)

No son vulnerables de la versión 9.7p1 (incluida) en adelante.

Distribuciones basadas en OpenBSD

Por otras medidas presentes en el sistema operativo OpenBSD el software OpenSSH de estos equipos no está afectado, en cualquier versión.

MacOs Sonoma (v14)

En el momento de escribir estas líneas, Apple no ha incorporado la resolución de la vulnerabilidad en las últimas actualizaciones. https://forums.developer.apple.com/forums/thread/758595

Se podrá comprobar si la vulnerabilidad está corregida en la página de la documentación de actualizaciones, buscando el CVE CVE-2024-6387. https://support.apple.com/en-us/HT214106

Mientras el sistema no disponga de la corrección, se recomienda deshabilitar el servicio SSH en el MacOs; Guía; https://pimylifeup.com/mac-enable-ssh/

POSIBLE ALTERNATIVA; desinstalar el paquete openssh "oficial" distribuido con macos e instalar a través de un gestor de paquetes de terceros (homebrew, scoop,...) una versión corregida de OpenSSH.

POSIBLE ALTERNATIVA; restringir por firewall el acceso a ssh sólo desde unas poquitas ips autorizadas.

POSIBLE ALTERNATIVA; véase la medida de mitigación.

¡NOTA! En algunos foros se dice que la vulnerabilidad no afecta a MacOs. En realidad no está claro, los expertos de seguridad que descubrieron la vulnerabilidad se centraron en sistemas linux de 32 bits. Hará falta una investigación detallada tanto para descartar como para confirmar si afecta a Mac o no. En estos momentos no he encontrado ningún análisis serio de este asunto.

Vmware ESXi

En el momento de escribir estas líneas vmware no confirma ni descarta el impacto de la vulnerabilidad sobre los ESXi. Para cualquier caso, recomienda deshabilitar SSH.

https://knowledge.broadcom.com/external/article/371126

¿Cómo se soluciona?

Todas las distribuciones Linux con soporte vigente actualmente disponen de un parche para la vulnerabilidad. Para estos casos la solución más sencilla consiste en actualizar.

Después de actualizar recuerde reiniciar el servicio sshd.

Para los sistemas que no se pueden actualizar existe una medida de mitigación, véase el apartado de mitigación en esta misma página.

Medidas de mitigación

Fuente; https://ubuntu.com/security/CVE-2024-6387

Set LoginGraceTime to 0 in /etc/ssh/sshd_config. This makes sshd
vulnerable to a denial of service (the exhaustion of all MaxStartups
connections), but it makes it safe from this vulnerability.

Buenas prácticas de seguridad

Restricción del acceso al servicio SSH desde determinadas IPs autorizadas.
Mecanismos de autenticación fuerte;
- 2FA en SSH
- Autenticación por pares de clave pública y privada.
Se desaconseja la autenticación por usuario y contraseña.
IPS a nivel de host; auditoría y baneo de peticiones abusivas y maliciosas realizadas al servicio SSH (fail2ban).