Suite d’utilitaires réseau sécurisés basés sur le protocole SSH (Secure Shell), OpenSSH (OpenBSD Secure Shell) connaît une vulnérabilité critique CVE-2024-6387. Le CERT-FR émet un bulletin d’alerte, en soulignant que son exploitation permet à un attaquant non authentifié d’exécuter du code arbitraire à distance avec les privilèges root. Difficile d’avoir pire.
À l’origine de la découverte de la faille, Qualys (Qualys Threat Research Unit) indique, en se basant sur les moteurs de recherche spécialisés Censys et Shodan, que plus de 14 millions d’instances de serveurs OpenSSH sont potentiellement vulnérables et exposées sur Internet.
Grâce à une divulgation responsable, des distributions Linux proposent des correctifs pour des versions affectées.
Une attaque potentielle se fait sur la durée
Selon le projet open source OpenSSH, les versions portables 8.5p1 à 9.7p1 sont vulnérables sur des systèmes Linux 32 bits avec la bibliothèque glibc et même si la protection ASLR (Address Space Layout Randomization) est active. OpenBSD n’est pas vulnérable.
Dans des conditions de laboratoire, une attaque nécessite de 6 à 8 heures de connexions en continu. Elle est susceptible d’être plus rapide à défaut de protection ASLR. Une exploitation sur des systèmes Linux 64 bits ou sans glibc est de l’ordre du plausible, mais il n’y a pas eu de démonstration en ce sens.
Les chercheurs de Qualys précisent par ailleurs que les versions d’OpenSSH antérieures à 4.4p1 sont vulnérables, sauf si elles disposent des correctifs pour les vulnérabilités CVE-2006-5051 et CVE-2008-4109.
Une régression malencontreuse
La vulnérabilité CVE-2024-6387 a droit à son petit nom… regreSSHion. Il s’agit en effet d’une régression de la vulnérabilité CVE-2006-5051 qui a donc été corrigée en 2006. Elle a pu refaire surface en raison de modifications ou de mises à jour qui ont réintroduit le problème par inadvertance.
» Cet incident met en évidence le rôle crucial des tests de régression approfondis pour empêcher la réintroduction de vulnérabilités connues dans l’environnement. Cette régression a été introduite en octobre 2020 (OpenSSH 8.5p1) « , écrit Qualys.
L’exploitation est complexe et Qualys ne publie pas ses exploits, le temps d’une application à grande échelle des correctifs. Toutefois, il y a des inquiétudes à avoir. Un chercheur en sécurité pense avoir identifié une exploitation active, même si ce n’est pas confirmé. Pour Unit 42 de Palo Alto Networks, la vulnérabilité dans OpenSSH est bel et bien critique, mais une exploitation massive est peu probable.