ACTUALITÉS - CYBERSECURITÉ

Origine de la vulnérabilité

Cette vulnérabilité résulte d'une condition de concurrence (race condition) dans le gestionnaire de signaux de sshd. 

Elle se déclenche lorsqu'un client non authentifié échoue à se connecter dans le délai imparti par la directive LoginGraceTime (par défaut, 120 secondes). 

Le gestionnaire de signal SIGALRM appelle alors des fonctions non sécurisées pour les signaux asynchrones, telles que syslog(), créant une opportunité pour des attaquants d'exploiter cette condition et obtenir une exécution de code à distance (RCE). 

Il est important de noter que cette faille est une régression d'une vulnérabilité précédemment corrigée en 2006 (CVE-2006-5051), réintroduite dans les versions ultérieures d'OpenSSH.

Détails techniques et exploitation

L'exploitation de cette vulnérabilité n'est pas triviale et nécessite de nombreuses tentatives pour réussir, en raison de la nature aléatoire de la condition de concurrence. 

Dans des environnements contrôlés, le succès de l'exploitation peut varier de quelques heures à une semaine, selon la configuration du système et la présence de mécanismes de protection tels que l'ASLR (Address Space Layout Randomization). 

Bien que l'exploitation ait été principalement démontrée sur des systèmes Linux 32 bits avec glibc, la possibilité d'une exploitation sur des systèmes 64 bits ou d'autres environnements n'est pas exclue.

PoC et préoccupations des experts

La publication d’un code de preuve de concept (PoC) a suscité une grande inquiétude parmi les experts en cybersécurité. Tandis que certains chercheurs rencontrent des difficultés pour reproduire l’exploitation en dehors de conditions de laboratoire, d’autres avertissent que les attaquants pourraient perfectionner ces techniques avec le temps.

Bien que l’exploitation massive semble peu probable à court terme en raison des barrières techniques, le potentiel d’impact des attaques réussies reste critique. Cela souligne l’urgence pour les organisations de corriger leurs systèmes et de renforcer leur posture de sécurité.

Vous pouvez retrouver le code en question ici

Versions affectées

Les versions d'OpenSSH comprises entre la 8.5p1 (publiée en mars 2021) et la 9.7p1 (publiée en mars 2024) sont vulnérables. 

Les systèmes OpenBSD ne sont pas affectés en raison de leur gestion différente des signaux.

Mesures de mitigation et recommandations :

Mettre à jour OpenSSH : Passez à la version 9.8p1 ou ultérieure, où la vulnérabilité a été corrigée. Si vous n'êtes pas sur Trixie (Debian 13) sachez qu'à l'heure de l'écriture de cet article les dernières versions d'OpenSSH ne sont pas disponibles y compris via les backports sur les autres versions de Debian. Vous pouvez dans ce cas utiliser le principe de pinning pour mettre à jour votre version OpenSSH sans toutefois devoir migrer ou compiler le programme par vous-même.

Modifier la configuration : En attendant la mise à jour, vous pouvez définir LoginGraceTime à 0 dans le fichier de configuration de sshd. Cependant, cette mesure peut entraîner des risques de déni de service et doit être appliquée avec prudence.

Restreindre l'accès SSH : Utilisez des contrôles réseau pour limiter l'accès au service SSH aux seules adresses IP de confiance.

Surveiller les indicateurs de compromission (IoC) : Mettez en place des systèmes de détection d'intrusion et examinez régulièrement les journaux pour repérer toute activité suspecte.

Conclusion

La vulnérabilité "regreSSHion" constitue une menace sérieuse pour la sécurité des systèmes utilisant OpenSSH. Il est impératif que les administrateurs système prennent des mesures immédiates pour mettre à jour leurs installations et appliquer les correctifs nécessaires, afin de prévenir toute exploitation potentielle de cette faille.

Vous souhaitez en savoir plus ou bien être accompagné par nos services sur ce genre de thématique ?