Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- OpenSSH versions 8.5p1 à 9.7p1 antérieures à 9.8 et 9.8p1
Résumé
Le 1 juillet 2024, OpenSSH a publié un avis de sécurité concernant la vulnérabilité critique CVE-2024-6387.
Cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire à distance avec les privilèges root.
L'éditeur précise que les versions 8.5p1 à 9.7p1 sont vulnérables, de manière confirmée, sur des systèmes Linux 32 bits avec la glibc et l'ASLR activé. Toutefois, il est précisé que l'exploitation nécessite entre six et huit heures de connexions continues. De plus, il spécule que ces attaques pourraient être optimisées pour être plus rapides, à plus forte raison lorsque l'ASLR est désactivé.
L'éditeur ajoute que l'exploitation sur des systèmes 64 bits ou sans glibc semble possible mais n'a pas été démontrée.
Cette vulnérabilité a été découverte par des chercheurs de Qualys. Dans leur billet de blogue (cf. section Documentation), ceux-ci précisent que les versions antérieures à 4.4p1 d'OpenSSh sont également vulnérables. De plus, ils conseillent de vérifier la présence de très nombreuses lignes "Timeout before authentication" dans les journaux pour détecter de potentielles tentatives d'exploitations.
En date du 1 juillet 2024, certaines distributions Linux ont proposé des correctifs pour des versions vulnérables (cf. section Documentation).
Dans l'attente de la disponibilité de correctifs, Qualys conseille de modifier la valeur de LoginGraceTime à 0 dans le fichier de configuration. Cette mesure de contournement permet d'empêcher une exécution de code arbitraire à distance, mais rend la machine vulnérable à un déni de service à distance.
Solutions
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité OpenSSH du 01 juillet 2024 https://www.openssh.com/txt/release-9.8
- Avis de sécurité CERT-FR CERTFR-2024-AVI-0531 du 1 juillet 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0531/
- Avis de sécurité CERT-FR CERTFR-2024-AVI-0539 du 3 juillet 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0539/
- Billet de blogue Qualys du 01 juillet 2024 https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
- Bulletin de sécurité Debian https://security-tracker.debian.org/tracker/DSA-5724-1
- Bulletin de sécurité Red Hat du 01 juillet 2024 https://access.redhat.com/security/cve/cve-2024-6387
- Référence CVE CVE-2024-6387 https://www.cve.org/CVERecord?id=CVE-2024-6387