Une nouvelle vulnérabilité critique vient d’être découverte dans OpenSSH, l’un des logiciels de connexion sécurisée les plus utilisés au monde. Voici ce que vous devez savoir sur cette faille de sécurité majeure.
Une régression d’une ancienne vulnérabilité
Le 1er juillet 2024, Qualys a publié un avis de sécurité concernant la vulnérabilité CVE-2024-6387, surnommée « regreSSHion » [1]. Cette faille affecte le serveur OpenSSH (sshd) sur les systèmes Linux utilisant la bibliothèque glibc.
Concrètement, il s’agit d’une condition de concurrence dans le gestionnaire de signal SIGALRM de sshd. Si un client ne s’authentifie pas dans le délai imparti (LoginGraceTime, 120 secondes par défaut), le gestionnaire SIGALRM est appelé de manière asynchrone et exécute des fonctions non sûres en termes de signaux (comme syslog()).
Fait surprenant, cette vulnérabilité est en réalité une régression de CVE-2006-5051, une faille similaire corrigée en 2006. La régression a été introduite en octobre 2020 dans OpenSSH 8.5p1.
Un exploit distant avec exécution de code arbitraire
Selon Qualys, cette vulnérabilité est exploitable à distance sur les systèmes Linux utilisant glibc, permettant potentiellement une exécution de code arbitraire avec les privilèges root. L’exploitation ne nécessite pas d’authentification.
Les chercheurs de Qualys ont développé des preuves de concept d’exploitation pour différentes versions d’OpenSSH :
- OpenSSH 3.4p1 (Debian 3.0r6, 2005) : Exploitation en environ 1 semaine en moyenne.
- OpenSSH 4.2p1 (Ubuntu 6.06.1, 2006) : Exploitation en 1-2 jours en moyenne.
- OpenSSH 9.2p1 (Debian 12.5.0, 2024) : Exploitation en 6-8 heures en moyenne.
Ces temps d’exploitation varient en fonction des paramètres de configuration du serveur SSH (MaxStartups, LoginGraceTime).
Versions affectées et mitigations
Les versions d’OpenSSH affectées sont :
- OpenSSH < 4.4p1 (si non corrigées pour CVE-2006-5051)
- 8.5p1 ≤ OpenSSH < 9.8p1
Pour atténuer le risque, vous pouvez :
- Mettre à jour OpenSSH vers la dernière version (9.8p1 ou supérieure).
- Si la mise à jour n’est pas possible, configurer LoginGraceTime à 0 dans le fichier de configuration sshd_config.
Conclusion
Cette vulnérabilité souligne l’importance d’une veille constante en matière de sécurité, même pour des logiciels réputés sûrs comme OpenSSH. Elle rappelle également la nécessité de maintenir à jour ses systèmes et d’appliquer rapidement les correctifs de sécurité.
Source : [1] Avis de sécurité Qualys : https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
N’hésitez pas si vous souhaitez plus de détails sur un aspect particulier de cette vulnérabilité ou des recommandations de sécurité supplémentaires.
