[Segurança] regreSSHion - uma Vulnerabilidade de RCE do OpenSSH

Pesquisadores de segurança do Threat Research Unit (TRU) da Qualys identificaram uma vulnerabilidade grave de execução remota de código não autenticado (RCE) no servidor OpenSSH (sshd) em sistemas Linux baseados em glibc. A vulnerabilidade foi batizada de regreSSHion e recebeu o CVE-2024-6387  (com score CVSS v3 8.1 - Alta).

Essa execução remota de código (RCE) não autenticado representa um grande risco de segurança, pelo seu impacto e pelo fato do SSH ser um serviço de acesso remoto seguro extremamente popular. A vulnerabilidade afeta o sshd em sua configuração padrão e não exige a interação do usuário para funcionar, o que aumenta o risco dela, permitindo acesso completo como root no equipamento vulnerável.

Esta vulnerabilidade está presente nas versões OpenSSH anteriores a 4.4p1 (se não receberam os patchs da CVE-2006-5051 e CVE-2008-4109) e as versões de 8.5p1 até, mas não incluindo, a 9.8p1, reintroduzindo um problema que foi corrigido anteriormente na CVE-2006-5051.

Segundo a Qualys, este bug marca a primeira vulnerabilidade do OpenSSH em quase duas décadas –  mas tinha que ser justamente um RCE não autenticado que concede acesso root total ao equipamento?

Inclusive, o nome regreSSHion foi escolhido pelos pesquisadores da Qualys considerarem que essa vulnerabilidade é uma "regressão"- ou seja, uma atualização na ferramenta acabou trazendo de volta uma vulnerabilidade corrigida anteriormente (a tal da CVE-2006-5051). Segundo eles, esta "regressão" foi introduzida em outubro de 2020 no release do OpenSSH 8.5p1.

Segundo estimativas da Qualys, dados do Censys e do Shodan indicam que aproximadamente 14 milhões de servidores OpenSSH potencialmente vulneráveis ​​estão expostos na Internet.

Eu fiz uma busca bem besta no Shodan e foi possível identificar 23,491,837 servidores OpenSSH expostos na Internet, dos quais 284.683 no Brasil (no caso, considerando qualquer versão do OpenSSH.

Felizmente, uma grande maioria parte desses equipamentos estão com uma versão antiga, desatualizada, mas que não possui a vulnerabilidade regreSSHion. Cerca de mais de 2/3 deles. Por exemplo, entre as "top 10" versões expostas na Internet, as duas mais presentes são de servidores desatualizados, em versões anteriores a 8.5p1 (totalizando, por si só, 7.723.494 de hosts que não são vulneráveis). Ou seja, entre as "top 10" versões de OpenSSH expostos na Internet, metade dessas versões representam equipamentos com o OpenSSH desatualizado há cerca de 4 anos, mas que representam cerca de 10 milhões entre os 15 milhões de servidores no "top 10". Estão desatualizados, mas pelo menos não estão vulneráveis ao regreSSHion. (rindo de nervoso).

Veja uma tabela que eu fiz considerando um recorte no Shodan, com as versões de servidores OpenSSH com mais de 50 mil hosts naquela versão. Cerca de 14 milhões não são vulneráveis e 6 milhões são.

Veja o infográfico que o pessoal da Qualys preparou:

Após a divulgação da vulnerabilidade regreSSHion, uma prova de conceito (PoC) já foi disponibilizada no GitHub, o que facilita muito a vida de possíveis atacantes que desejem explorar essa vulnerabilidade. Ela está disponível no repositório https://github.com/zgzhang/cve-2024-6387-poc.

Algumas recomendações para mitigar a regreSSHion:

• Aplique imediatamente os patches disponíveis para o OpenSSH;
• Revise os controles de acesso para limitar o acesso remoto SSH a seus equipamentos, se necessário ajustando as regras de Firewall existentes;
• Mantenha uma segmentação de rede para evitar acesso não autorizado e movimentação lateral;
• Acompanhe seus sistemas de detecção de intrusões para monitorar e alertar sobre atividades incomuns em acessos remotos via SSH.

A Qualys também destaca que este incidente mostra o papel crucial dos testes de regressão que devem ser realizados no processo de desenvolvimento de software, para justamente evitar a reintrodução de vulnerabilidades conhecidas no ambiente. #ficaadica

Cuidado (adicionado em 05/07): Segundo a Kaspersky, está sendo compartilhado um malware como se fosse um suposto exploit para o regreSSHion.

Para saber mais:

• The regreSSHion Bug
• regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server
• Qualys Security Advisory: regreSSHion: RCE in OpenSSH's server, on glibc-based Linux systems (CVE-2024-6387)
• Millions of OpenSSH Servers Potentially Vulnerable to Remote regreSSHion Attack
• New regreSSHion OpenSSH RCE bug gives root on Linux servers

PS: Publiquei uma versão menor desse artigo no Linkedin.

PS/2: Post atualizado com algumas estatísticas que eu retirei do Shodan.