El 1 de julio de 2024 se publicó información de la vulnerabilidad de alto impacto CVE-2024-6387, de manera coordinada con la publicación de los parches que la soluciona. Por el servicio afectado (el servicio de acceso remoto por ssh) y por la gravedad de la vulnerabilidad (la explotación permite ejecutar comandos y tomar control del equipo) es posible que esta vulnerabilidad tenga un alto impacto en un futuro próximo.

El CCN-CERT recomienda encarecidamente a usuarios y adminstradores de sistemas realizar las actualizaciones mencionadas (...)

Palabras clave; CVE-2024-6387, vulnerabilidad regreSSHion, vulnerabilidad en OpenSSH.

Aviso del CCN-CERT

Manuales de las Aplicaciones Corporativas > Julio 2024: Vulnerabilidad grave en OpenSSH (regreSSHion) > image-2024-7-4_12-41-0.png

Fuente; https://www.ccn-cert.cni.es/es/seguridad-al-dia/avisos-ccn-cert/12974-ccn-cert-av-10-24-actualizaciones-de-seguridad-en-openssh.html

¿Cuáles son los sistemas afectados?

Distribuciones basadas en OpenBSD

Por otras medidas presentes en el sistema operativo OpenBSD el software OpenSSH de estos equipos no está afectado, en cualquier versión.

Distribuciones Linux

Las distribuciones Linux (que no sean Ubuntu) con el paquete OpenSSH son vulnerables las siguientes versiones;

Son vulnerables desde la versión 8.5p1 (vulnerable) hasta la versión anterior a la 9.7p1 (no vulnerable)

No son vulnerables de la versión 9.7p1 (incluida) en adelante.

Ubuntu

En equipos Ubuntu, los sistemas afectados son 22.04 LTS, 23.10 LTS and 24.04 LTS, en cambio versiones anteriores 14.04 LTS, 16.04 LTS, 18.04LTS and 20.04 LTS disponen de versiones antiguas de OpenSSH que no presentan esta vulnerabilidad. (Fuente: https://ubuntu.com/blog/ubuntu-regresshion-security-fix)

Versiones CORREGIDAS en Ubuntu;

Ubuntu 24.04

    openssh-client - 1:9.6p1-3ubuntu13.3
    openssh-server - 1:9.6p1-3ubuntu13.3

Ubuntu 23.10

    openssh-client - 1:9.3p1-1ubuntu3.6
    openssh-server - 1:9.3p1-1ubuntu3.6

Ubuntu 22.04

    openssh-client - 1:8.9p1-3ubuntu0.10
    openssh-server - 1:8.9p1-3ubuntu0.10

Información de interés sobre la vulnerabilidad en Ubuntu;

https://ubuntu.com/security/notices/USN-6859-1

https://ubuntu.com/blog/ubuntu-regresshion-security-fix

https://ubuntu.com/security/CVE-2024-6387

Debian

La versión corregida es la 1:9.2p1-2+deb12u3. Cuidado porque la versión que cambia un único dígito; 1:9.2p1-2+deb12u2 sí que es vulnerable;

Fuente; https://security-tracker.debian.org/tracker/CVE-2024-6387

Manuales de las Aplicaciones Corporativas > Julio 2024: Vulnerabilidad grave en OpenSSH (regreSSHion) > image-2024-7-4_13-32-36.png

Oracle Linux 9

La vulnerabilidad se resuelve en el paquete 8.7p1-38.0.2. Fuente; https://linux.oracle.com/errata/ELSA-2024-12468.html

Rocky 9

La vulnerabilidad se resuelve en openssh-8.7p1-38.el9_4.1. Fuente: https://rockylinux.org/news/2024-07-01-openssh-sigalrm-regression

Cómo comprobar si mi sistema está afectado

Medidas de mitigación

Fuente; https://ubuntu.com/security/CVE-2024-6387

Set LoginGraceTime to 0 in /etc/ssh/sshd_config. This makes sshd
vulnerable to a denial of service (the exhaustion of all MaxStartups
connections), but it makes it safe from this vulnerability.

Buenas prácticas de seguridad

Restricción del acceso al servicio SSH desde determinadas IPs autorizadas.
Mecanismos de autenticación fuerte;
- 2FA en SSH
- Autenticación por pares de clave pública y privada.
Se desaconseja la autenticación por usuario y contraseña.
IPS a nivel de host; auditoría y baneo de peticiones abusivas y maliciosas realizadas al servicio SSH (fail2ban).