Des millions de serveurs OpenSSH potentiellement vulnérables à l’attaque regreSSHion
Une nouvelle faille de sécurité critique a été corrigée dans OpenSSH ! En l'exploitant, un attaquant non authentifié pourrait exécuter du code à distance avec les privilèges "root" sur une machine Linux. Faisons le point.
Pour rappel, le très populaire OpenSSH (Open Secure Shell) est un ensemble d'outils libres qu'il est possible d'utiliser pour établir des connexions sécurisées entre deux hôtes, notamment grâce au protocole SSH.
La vulnérabilité CVE-2024-6387 présente dans le serveur OpenSSH (sshd) permet l'exécution de code à distance non authentifié (RCE) en tant que root sur les systèmes Linux basés sur la glibc. Il est important de noter que cette vulnérabilité est liée à une race condition, et qu'elle affecte sshd dans sa configuration par défaut. Néanmoins, ceci complexifie son exploitation.
Dans le cas où l'exploitation de la CVE-2024-6387 réussie, l'attaquant peut compromettre le serveur où OpenSSH est installé et en prendre le contrôle. Ceci ouvre la porte à un vol de données, à la mise en place d'un accès persistant, etc.
Les chercheurs en sécurité de chez Qualys, qui ont surnommé cette faille de sécurité "regreSSHion", ont mis en ligne un rapport complet à son sujet. D'ailleurs, Qualys précise avoir identifié pas moins de 14 millions de serveurs OpenSSH potentiellement vulnérables et exposés sur Internet. "Sur la base de recherches effectuées à l'aide de Censys et de Shodan, nous avons identifié plus de 14 millions d'instances de serveurs OpenSSH potentiellement vulnérables et exposées à l'internet.", peut-on lire.
Qui est affecté ? Comment se protéger ?
La faille de sécurité CVE-2024-6387 est la renaissance d'une vulnérabilité déjà corrigée dans OpenSSH, il y a plus de 15 ans. "D'après notre analyse de sécurité, nous avons identifié que cette vulnérabilité est une régression de la vulnérabilité CVE-2006-5051 précédemment corrigée, qui a été signalée en 2006.", précise les chercheurs en sécurité. Cette faille de sécurité a été réintroduite en octobre 2020 lors de la sortie d'OpenSSH 8.5p1.
Concrètement, la vulnérabilité affecte les versions d'OpenSSH comprises entre les versions 8.5p1 et 9.7p1. De plus, les versions antérieures à la version 4.4p1 sont également vulnérables à cette race condition, sauf si elles sont protégées contre les vulnérabilités CVE-2006-5051 et CVE-2008-4109. L'installation du correctif est recommandée dès que possible, surtout pour les serveurs et équipements exposés sur Internet.
Si votre système est vulnérable et que vous ne pouvez pas le mettre à jour dans l'immédiat, voici la mesure de protection alternative proposée par Qualys : "Si sshd ne peut pas être mis à jour ou recompilé, définissez LoginGraceTime à 0 dans le fichier de configuration. Cela expose sshd à un déni de service en utilisant toutes les connexions MaxStartups, mais évite le risque d'exécution de code à distance."
Pour rappel, voici le chemin vers le fichier de configuration d'OpenSSH Server :
/etc/ssh/sshd_configPour afficher la version d'OpenSSH installée sur votre serveur, utilisez cette commande :
ssh -VEnfin, si vous utilisez OpenBSD, nous avons une bonne nouvelle pour vous : "Les systèmes OpenBSD ne sont pas affectés par ce bogue, car OpenBSD a développé en 2001 un mécanisme sécurisé qui prévient cette vulnérabilité.", précise le rapport.
« OpenBSD a développé en 2001 un mécanisme sécurisé qui prévient cette vulnérabilité ».
En 2001… Tout est dit !
Lors de l’attaque HeartBleed, Theo De Raadt disait de l’équipe en cause « OpenSSL is not developed by a responsible team ». Serait-ce une redite d’une certaine manière ?
sur Archlinux faire downgrade openssh et choisir la version 9.8p1 ou 8.5p1
Bonjour, petite info sur Debian 12.
Actuellement, le système ne met pas à jour le paquet openssh-server en 9.7p1, car est encore en phase SID (testing).
Il est possible de forcer l’installation du paquet à jour en activant le depôt SID
> sudo nano /etc/apt/sources.list
Ajout de la ligne
deb http://ftp.fr.debian.org/debian sid main
Enregistrez le fichier
Ensuite, la commande
> apt update
et faites UNIQUEMENT la mise à jour du paquet Openssh-client
> apt get install –only-upgrade openssh-client
La commande devrait mettre a jour sans problème le paquet Openssh
Pour s’en assurer, faites la commande:
> ssh -V
Il devrait afficher
« OpenSSH_9.7p1 Debian-7, OpenSSL 3.2.2 4 Jun 2024 »
Important, il faut commenter la ligne deb http://ftp.fr.debian.org/debian sid main dans le sources.list afin de revenir dans le dépôt stable de Debian.
C’est pour l’instant le seul moyen que j’ai trouvé pour mettre a jour avec le correctif.
Sur https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-009/
«L’éditeur précise que les versions 8.5p1 à 9.7p1 sont vulnérables, de manière confirmée, sur des systèmes Linux 32 bits avec la glibc et l’ASLR activé. Toutefois, il est précisé que l’exploitation nécessite entre six et huit heures de connexions continues. De plus, il spécule que ces attaques pourraient être optimisées pour être plus rapides, à plus forte raison lorsque l’ASLR est désactivé.»
Bonjour,
Pour ma part j’ai installé la dernière version 9.8p1. de la façon suivante:
-View version:
ssh -V
-Update and install necessary packages
sudo apt-get -y update
sudo apt-get install build-essential zlib1g-dev libssl-dev
-Download the latest package:
wget https://cdn.openbsd.org/pub/OpenBSD/OpenSSH/portable/openssh-9.8p1.tar.gz
-Unzip:
tar -xzf openssh-9.8p1.tar.gz
cd openssh-9.8p1
-Compile:
./configure
make
-Install:
sudo make install
Restart the service:
sudo systemctl restart ssh
-View version
ssh -V
-Si la version n’affiche pas openssh-9.8p1, vous devez ajouter des variables d’environnement :
echo ‘export PATH=/usr/local/bin:/usr/local/sbin:$PATH’ >> ~/.bashrc