Los responsables del Proyecto FreeBSD han publicado actualizaciones de seguridad para solucionar un fallo de alta gravedad en OpenSSH que los atacantes podrían aprovechar para ejecutar código arbitrario de forma remota con privilegios elevados.
La vulnerabilidad, rastreada como CVE-2024-7589, tiene una puntuación CVSS de 7,4 sobre un máximo de 10,0, lo que indica una gravedad alta.
"Un gestor de señales en sshd(8) puede llamar a una función de registro que no es async-signal-safe", según un aviso publicado la semana pasada.
"El manejador de señal es invocado cuando un cliente no se autentica dentro de los segundos LoginGraceTime (120 por defecto). Este gestor de señales se ejecuta en el contexto del código privilegiado de sshd(8), que no está aislado y se ejecuta con todos los privilegios de root."
OpenSSH es una implementación del conjunto de protocolos de shell seguro (SSH), que proporciona transporte cifrado y autenticado para una variedad de servicios, incluido el acceso shell remoto.
CVE-2024-7589 se ha descrito como "otro caso" de un problema denominado regreSSHion (CVE-2024-6387), que salió a la luz a principios del mes pasado.
"El código defectuoso en este caso procede de la integración de blacklistd en OpenSSH en FreeBSD", han declarado los responsables del proyecto.
"Como resultado de llamar a funciones que no son async-signal-safe en el contexto privilegiado de sshd(8), existe una condición de carrera que un atacante determinado puede ser capaz de explotar para permitir una ejecución remota de código no autenticada como root".
Se recomienda encarecidamente a los usuarios de FreeBSD que actualicen a una versión compatible y reinicien sshd para mitigar posibles amenazas.
En los casos en los que sshd(8) no pueda actualizarse, el problema de la condición de carrera puede resolverse estableciendo LoginGraceTime a 0 en /etc/ssh/sshd_config y reiniciando sshd(8). Aunque este cambio hace que el demonio sea vulnerable a una denegación de servicio, lo protege contra la ejecución remota de código.
Fuente: thehackernews