16/12/2024

Actu Cybersécurité

CVE-2024-6409 : cette faille de sécurité dans OpenSSH peut permettre une exécution de code à distance

Une nouvelle vulnérabilité pouvant mener à une exécution de code à distance a été découverte dans OpenSSH, peu de temps après la découverte de la faille de sécurité RegreSSHion. Faisons le point.

Cette nouvelle faille de sécurité, associée à la référence CVE-2024-6409 et à un score CVSS de 7.0 sur 10, est différente de la CVE-2024-6387 surnommée RegreSSHion. La présente vulnérabilité concerne un cas d'exécution de code dans le processus enfant "privsep" à cause d'une race condition liée à la gestion des signaux. Un attaquant peut exploiter cette vulnérabilité à distance si une version vulnérable d'OpenSSH est utilisée.

C'est en menant des investigations au sujet de la vulnérabilité RegreSSHion qu'un chercheur en sécurité nommé Alexander Peslyak a fait la découverte de cette nouvelle faiblesse dans OpenSSH. "La principale différence avec CVE-2024-6387 est que la race condition et le potentiel RCE sont déclenchés dans le processus enfant privsep, qui s'exécute avec des privilèges réduits par rapport au processus parent du serveur.", précise-t-il.

Ainsi, cette vulnérabilité est moins importante que la précédente, mais elle représente tout de même une opportunité pour les attaquants, notamment si la CVE-2024-6387 ne peut pas être exploitée. La race condition est la même entre les deux vulnérabilités (quand un client ne s'authentifie pas dans le délai en secondes défini dans LoginGraceTime).

"En conséquence d'une attaque réussie, dans le pire des cas, l'attaquant peut être en mesure de réaliser une exécution de code à distance (RCE) au sein d'un utilisateur non privilégié exécutant le serveur sshd.", peut-on lire.

Qui est affecté ? Comment se protéger ?

Cette faille de sécurité affecte uniquement les versions 8.7p1 et 8.8p1 d'OpenSSH. Il s'agit de versions livrées avec Red Hat Enterprise Linux 9, qui est donc un système vulnérable (voir cette page). Par ailleurs, il semblerait que des correctifs soient disponibles pour AlmaLinux, Debian ou encore Rocky Linux. De son côté, Ubuntu n'est pas affecté.

Enfin, sachez qu'au moins un cas de tentative d'exploitation de cette vulnérabilité a été repéré dans la nature. Cette tentative a été associée à un pirate informatique inconnu jusqu'ici ciblant des serveurs principalement situés en Chine.

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.