OpenSSH 9.1 affecté par une faille de sécurité critique (CVE-2023-25136)
Les développeurs d'OpenSSH ont mis en ligne une nouvelle version, à savoir OpenSSH 9.2, dans le but de corriger plusieurs failles de sécurité, dont la vulnérabilité associée à la référence CVE-2023-25136.
Pour rappel, OpenSSH est un logiciel qui implémente le protocole SSH, très fréquemment utilisé pour se connecter à des machines sous Linux (ou Windows) de façon sécurisée pour effectuer de l'administration à distance.
Introduit dans OpenSSH 9.1, la faille de sécurité CVE-2023-25136 affecte le processus de pré-authentification de SSH. En l'exploitant, un attaquant pourrait corrompre la mémoire et parvenir à exécuter du code arbitraire sur la machine, sans être authentifié sur le serveur cible.
Note : cette vulnérabilité a été découverte en juillet 2022 par le chercheur en sécurité Mantas Mikulenas.
Toutefois, et on ne va pas s'en plaindre, Saeed Abbasi de chez Qualys précise que cette faille n'est pas simple à exploiter par les pirates informatiques : "Si la vulnérabilité double-free de la version 9.1 d'OpenSSH peut susciter des inquiétudes, il est essentiel de noter que l'exploitation de ce problème n'est pas une tâche simple."
Et pour cela, on peut remercier le fonctionnement du processus sshd d'OpenSSH : "Cela est dû aux mesures de protection mises en place par les allocateurs de mémoire modernes et à la séparation robuste des privilèges et au sandboxing mis en œuvre dans le processus sshd concerné." - Sinon, cette vulnérabilité aurait pu être beaucoup plus dangereuse pour tous les serveurs avec un accès SSH avec OpenSSH en version 9.1.
Le rapport de Qualys peut être consulté pour des détails techniques supplémentaires sur le fonctionnement de cette faille de sécurité.
Même si ces derniers jours on entend beaucoup parler des nombreuses attaques à destination des serveurs VMware ESXi, cette vulnérabilité dans OpenSSH doit être prise au sérieux également. Sur le site du NIST, elle est considérée comme critique et elle hérite d'un score CVSS de 9,8 sur 10.
OpenSSH 9.2 est disponible depuis le 2 février 2023 (voir ici) : À vos mises à jour !