[Actualización 10/09/2024] regreSSHion: vulnerabilidad RCE en servidor OpenSSH
Versiones de OpenSSH afectadas por esta vulnerabilidad:
- anteriores a 4.4p1, a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109;
- desde 4.4p1 hasta la anterior a 8.5p1, no son vulnerables debido a un parche aplicado para CVE-2006-5051;
- desde 8.5p1 hasta la anterior a 9.8p1.
Los sistemas OpenBSD no están afectados.
[Actualización 01/08/2024]
Productos afectados de Red Lion Europe:
- mbCONNECT24 y mymbCONNECT24: versiones anteriores a 2.16.1.
- mbNET y mbNET.rokey: versión 8.0.0 y anteriores a 8.2.0.
Productos afectados de Helmholz:
- myREX24 V2 y myREX24 V2 virtual: versiones anteriores a 2.16.1.
- REX200 y REX250: versión 8.0.0 y anteriores a 8.2.0.
[Actualización 10/09/2024]
Productos afectados de Moxa:
- EDR-8010 Series y EDR-G9010 Series, versiones de frimware 3.6 y anteriores.
- OnCell G4302-LTE4 Series, versiones de frimware 3.9 y anteriores.
- EDR-G9010 Series firmware versión 3.6 y anteriores.
- AWK-3251A-RCC Series firmware versión 1.0.
- EDR-810 Series, firmware versión 5.12 y anteriores.
[Actualización 07/08/2024]
Productos afectados en Redes HPE Aruba:
- Núcleo móvil HPE Athonet, versiones 1.24.1.1 y anteriores y 1.23.4.2 y anteriores.
- HPE Athonet IMS, versiones 1.24.1.1 y anteriores.
[Actualización 22/08/2024]
Productos afectados de Welotec, todos ellos en sus versiones 1.5.3 y anteriores:
- EG500Mk2-A11001-000101;
- EG500Mk2-A11001-000201;
- EG500Mk2-A11101-000101;
- EG500Mk2-A12011-000101;
- EG500Mk2-B11001-000101;
- EG500Mk2-B11101-000101;
- EG500Mk2-C11001-000101;
- EG500Mk2-C11101-000101;
- EG503L;
- EG503L_4GB;
- EG503L-G;
- EG503W;
- EG503W_4GB;
- EG602L;
- EG602W;
- EG603L Mk2;
- EG603W Mk2;
- EG802W;
- EG802W_i7_512GB_DinRail;
- EG802W_i7_512GB_w/o DinRail;
- EG804W.
El equipo de Qualys Threat Research Unit (TRU) ha descubierto una vulnerabilidad que posibilitaría la ejecución remota de código, no autenticado (RCE), con privilegios de root en el servidor de OpenSSH (sshd) que afecta en sistemas Linux basados en glibc, y a la que se ha denominado con el alias regreSSHion.
- Actualizar OpenSSH a la versión 9.8p1.
- Limitar el acceso SSH a través de controles basados en red para minimizar los riesgos de ataque.
- Segmentar las redes para restringir el acceso no autorizado y los movimientos laterales.
- Aplicar las medidas de mitigación descritas en el aviso de Red Hat (enlazado en las referencias).
[Actualización 01/08/2024]
Para productos afectados de Red Lion Europe actualizar el firmware:
- 2.16.1 para mbCONNECT24/mymbCONNECT24.
- 8.2.0 para mbNET/mbNET.rokey.
Para productos afectados de Helmholz actualizar el firmware:
- 2.16.1 para myREX24 V2/myREX24 V2 virtual.
- 8.2.0 para REX200/REX250.
[Actualización 10/09/2024]
Para los productos Moxa afectados, actualizar el firmware a las versiones indicadas en el aviso oficial enlazado en las referencias (consultar enlaces de descarga en aviso del fabricante).
[Actualización 07/08/2024]
Actualizar el software a la siguiente versión:
- Núcleo móvil HPE Athonet: 1.24.1.2 y superiores y 1.23.4.3 y superiores.
- HPE Athonet IMS: 1.24.1.2 y superiores.
[Actualización 22/08/2024]
Actualizar egOS en los productos afectados a la versión 1.5.4 o posterior.
La vulnerabilidad identificada por Qualys TRU es una regresión de otra vulnerabilidad previamente solucionada (CVE-2006-5051) y que fue introducida en octubre del 2020 (OpenSSH 8.5p1).
Esta vulnerabilidad regreSSHion podría conllevar un compromiso total del sistema afectado, permitiendo al atacante ejecutar código arbitrario con privilegios de root, otorgando la posibilidad de instalar malware, modificar datos y crear backdoors para acceso persistente. Además, podría permitir a un atacante utilizar un sistema comprometido para realizar pivoting y explotar otros sistemas vulnerables dentro de la misma red.
Esta vulnerabilidad es difícil de explotar debido a su naturaleza de condición de carrera remota, que requiere múltiples intentos para un ataque exitoso, de hecho, el fabricante afectado establece que el ataque requiere de una media de 6-8 horas de conexiones continuas hasta el máximo que el servidor acepte.
Se ha asignado el identificador CVE-2024-6387 para esta vulnerabilidad.
[Actualización 07/08/2024]
Se ha descubierto una regresión de seguridad de (CVE-2006-5051) en el servidor de OpenSSH (sshd). Existe una condición de carrera que puede provocar que sshd de OpenSSH maneje algunas señales de manera insegura. Un atacante remoto no autenticado podría ser capaz de desencadenar esta condición vulnerable al no autenticarse dentro de un tiempo determinado.
