CVE-2024-6387: el fallo crítico ‘regreSSHion’ expone a millones de sistemas Linux a RCE no autenticado

Julio, 2024 Por Hispasec 

La Unidad de Investigación de Amenazas de Qualys (TRU) ha descubierto esta vulnerabilidad que deja expuestos a millones de sistemas Linux basados en glibc a la ejecución remota de código (RCE). Este fallo marca la primera vulnerabilidad de OpenSSH en casi dos décadas que permite la ejecución de código remoto no autenticado con acceso root completo.

 

 

 

 

 

 

 

Esta vulnerabilidad, identificada como CVE-2024-6387, afecta al servidor de OpenSSH (sshd) en sistemas Linux basados en glibc, permitiendo a atacantes no autenticados obtener acceso root y potencialmente tomar el control completo de las máquinas afectadas. Afecta a la configuración predeterminada y no requiere interacción del usuario, representando un riesgo significativo.

La Unidad de Investigación de Amenazas de Qualys (TRU) descubrió esta vulnerabilidad de RCE no autenticada en el servidor de OpenSSH en sistemas Linux basados en glibc. Este fallo marca la primera vulnerabilidad de OpenSSH en casi dos décadas que permite la ejecución de código remoto no autenticado con acceso root completo. Afecta a la configuración predeterminada y no requiere interacción del usuario, representando un riesgo significativo de explotación.

«Este fallo supone la primera vulnerabilidad de OpenSSH en casi dos décadas: un RCE no autenticado que concede acceso total de root. Afecta a la configuración por defecto y no requiere la interacción del usuario, lo que plantea un riesgo de explotación significativo», señaló el investigador.

Detalles de la vulnerabilidad

Este fallo se origina en una condición de carrera en el manejador de señales del servidor de OpenSSH (sshd), afectando su configuración predeterminada y «no requiere interacción del usuario». Esta condición de carrera es especialmente preocupante ya que permite la ejecución de código remoto no autenticado con privilegios de root, lo que otorga a los atacantes control total sobre los sistemas afectados. Este problema está presente en las versiones de OpenSSH desde la 8.5p1 hasta, pero sin incluir, la 9.8p1, reintroduciendo un problema previamente solucionado en CVE-2006-5051.

¿Qué es regreSSHion?

La vulnerabilidad fue nombrada ‘regreSSHion’ debido a su naturaleza como un fallo de regresión que afecta a OpenSSH. ‘regreSSHion’, identificado como CVE-2024-6387, es una vulnerabilidad de ejecución remota de código no autenticado en el servidor de OpenSSH (sshd) que otorga acceso root completo. Afecta a la configuración predeterminada y no requiere interacción del usuario, lo que representa un riesgo significativo de explotación.

En su análisis, Qualys TRU identificó que esta vulnerabilidad es una regresión del problema previamente solucionado CVE-2006-5051, reportado en 2006. Una regresión en este contexto significa que un fallo, una vez corregido, ha reaparecido en una versión posterior del software, típicamente debido a cambios o actualizaciones que vuelven a introducir el problema. Este incidente resalta la importancia crucial de las pruebas de regresión exhaustivas para evitar la reincorporación de vulnerabilidades conocidas en el entorno. Esta regresión se introdujo en octubre de 2020 (OpenSSH 8.5p1).

Sobre OpenSSH

OpenSSH es una suite de utilidades de red seguras basadas en el protocolo SSH, esencial para la comunicación segura sobre redes no seguras. Proporciona cifrado robusto, transferencias de archivos seguras y gestión remota de servidores. OpenSSH es ampliamente utilizado en sistemas similares a Unix, incluyendo macOS y Linux, y soporta diversas tecnologías de cifrado y aplica controles de acceso sólidos. A pesar de una vulnerabilidad reciente, OpenSSH mantiene un historial de seguridad sólido, ejemplificando un enfoque de defensa en profundidad y siendo una herramienta crítica para preservar la confidencialidad e integridad de la comunicación en red a nivel mundial.

Versiones de OpenSSH afectadas

• Vulnerables: las versiones de OpenSSH anteriores a la 4.4p1, a menos que estén parcheadas para CVE-2006-5051 y CVE-2008-4109.
• No vulnerables: las versiones de la 4.4p1 hasta, pero sin incluir, la 8.5p1 debido a un parche transformador para CVE-2006-5051.
• Vulnerables nuevamente: las versiones desde la 8.5p1 hasta, pero sin incluir, la 9.8p1 debido a la eliminación accidental de un componente severo en una función.

Alcance de la vulnerabilidad

El alcance de la vulnerabilidad es importante, con más de 14 millones de instancias potencialmente vulnerables del servidor OpenSSH identificadas a través de búsquedas en Censys y Shodan. Los datos de Qualys revelan que aproximadamente 700,000 de estas están expuestas a internet, representando una parte significativa de su base de clientes global.

La explotación exitosa de ‘regreSSHion’ podría tener consecuencias devastadoras. Los ciberatacantes podrían obtener un compromiso completo del sistema, instalar malware, manipular datos y establecer puertas traseras backdoor para un acceso persistente. La capacidad de propagarse a través de redes y eludir mecanismos de seguridad hace que esta vulnerabilidad sea particularmente peligrosa para empresas e individuos.

Recomendaciones de mitigación

Para abordar la vulnerabilidad ‘regreSSHion’, las empresas deben adoptar un enfoque de seguridad enfocado y en capas:

1. Gestión de parches: aplicar lo antes posible los parches disponibles para OpenSSH y priorizar los procesos de actualización regular para asegurar que todos los sistemas estén protegidos.
2. Control de acceso mejorado: limitar el acceso SSH a través de controles basados en la red para minimizar los riesgos de ataque.
3. Segmentación de red y detección de intrusos: implementar la segmentación de red para restringir el acceso no autorizado y los movimientos laterales dentro de entornos críticos. Desplegar sistemas de detección de intrusos para monitorear y alertar sobre actividades inusuales indicativas de intentos de explotación.

Para obtener información técnica detallada sobre CVE-2024-6387, se recomienda consultar la documentación oficial proporcionada por Qualys aquí.

Más información:

• Parches para OpenSSH: https://www.qualys.com/regresshion-cve-2024-6387/
• Sobre OpenSSH: https://www.openssh.com/
• Documentación de Qualys sobre CVE-2024-6387: https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
• Blog de Qualys: https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server
• Boletín de seguridad de Debian: https://lists.debian.org/debian-security-announce/2024/msg00135.html
• Otras noticias:
  https://securityonline.info/leaf-linux-evidence-acquisition-framework/
  https://securityonline.info/cve-2024-6387-critical-openssh-unauthenticated-rce-flaw-regresshion-exposes-millions-of-linux-systems/
  https://www.bleepingcomputer.com/news/security/new-regresshion-openssh-rce-bug-gives-root-on-linux-servers/

 

FUENTE ORIGINAL:  Unaaldia.hispasec.com

LogoFAIL, el peligroso ataque que afecta a Windows y Linux y que es imposible de detectar

 Investigadores descubrieron una vulnerabilidad que afecta a casi todos los ordenadores y permite ataques de firmware imposibles de detectar o eliminar.

por Luis Miranda 7 de diciembre de 2023

 

 

 

 

 

 

 

Una nueva vulnerabilidad en Linux y Windows amenaza con poner de cabeza al mundo entero. Investigadores de seguridad descubrieron un cúmulo de agujeros en la interfaz unificada de firmware extensible (UEFI) que permite ejecutar código malicioso al iniciar el sistema. El ataque, conocido como LogoFAIL, puede colocar un ejecutable en el duro y es imposible de eliminar por cualquier antivirus.

LogoFAIL explota una vulnerabilidad en las bibliotecas de análisis de imágenes que utiliza UEFI durante el arranque. El ataque sustituye el logotipo del fabricante que se muestra al encender nuestro ordenador por otro archivo de aspecto idéntico que ha sido diseñado para ejecutar un script. Debido a que ocurre durante el proceso de arranque, no existe ninguna solución de seguridad que pueda detenerlo.

 

Un reporte de ArsTechnica detalla los hallazgos de Binarly, una firma de seguridad que analiza problemas potenciales en el firmware de los ordenadores. En el marco de la Conferencia Black Hat Europa 2023, los investigadores revelaron que LogoFAIL aprovecha múltiples vulnerabilidades que han estado presentes por décadas en ordenadores Windows y Linux.

 

 

 

 

 

 

 

 

 Para sacar provecho, el atacante debe reemplazar primero la imagen del logotipo que se encuentra en la partición que almacena el cargador de arranque (bootloader). Al reiniciar el equipo, el archivo infectado ejecutará el código malicioso durante la fase del entorno de ejecución del controlador (DXE), que es donde se realiza la mayor parte de inicialización del sistema. Esto impide que pueda ser detectado por cualquier solución de seguridad del CPU o del sistema operativo.

Una vez instalado, LogoFAIL crea un kit de arranque para permanecer en tu ordenador para siempre. No hay antivirus que pueda eliminarlo y sobrevive a cualquier formateo del disco duro.

Cómo eliminar LogoFAIL de Linux y Windows

 

 

 

 

 

 

 

Debido a que LogoFAIL aprovecha las vulnerabilidades en la interfaz unificada de firmware extensible, cualquier placa madre que utilice UEFI está en riesgo. “Estas vulnerabilidades están presentes en la mayoría de los casos dentro del código de referencia, lo que afecta no a un solo proveedor sino a todo el ecosistema de este código y a los proveedores de dispositivos donde se utiliza”, declaró Alex Matrosov, director ejecutivo de Binarly.

Los investigadores efectuaron una demostración de LogoFAIL en un ordenador Lenovo ThinkCentre M70s con procesador Intel y medidas de seguridad de hardware activadas.

  

Debido a que el exploit afecta a todos los sistemas Intel, AMD y ARM, es necesario esperar a un parche del fabricante. Algunos equipos Dell y las Mac con procesadores Intel son inmunes a cualquier ataque de LogoFAIL. Esto se debe a que cuentan con mecanismos de seguridad que impiden la sustitución de los logotipos UEFI.

Hasta el momento no existe evidencia de que algún hacker haya sacado provecho, aunque los investigadores dejan claro que no hay modo de saberlo. Un atacante habría modificado el logotipo de tu ordenador sin que te dieras cuenta, puesto que las vulnerabilidades tienen más de una década.

 FUENTE ORIGINAL: Hipertextual.Com

 

 

Consejos básicos para mantener un registro limpio en Internet

  agosto 2, 2022 

Medidas para mantener segura tu identidad y tus datos

Cada vez que coges tu teléfono para participar en un chat de grupo, ver un vídeo de YouTube o buscar en Internet, dejas una huella digital de tu actividad. Este rastro puede comprometer tu privacidad de cara al futuro y también poner en riesgo tu información personal en caso de que tu teléfono caiga en manos equivocadas.

Modo incógnito

El navegador web de tu teléfono, al igual que el de tu ordenador, ofrece un modo incógnito o privado que limita los datos. Cuando abres una sesión en este modo, la aplicación olvida las páginas que visitas y las palabras clave que buscas en cuanto cierras la ventana. Sin embargo, debes tener en cuenta que la navegación privada no te hace invisible; por ejemplo, si entras en el portal web de Facebook en modo incógnito, la red social seguirá registrando tu actividad. Asimismo tu proveedor de servicios de Internet (ISP) también verá tu navegación y puede registrar algunas pautas de tu comportamiento en línea.

TE PUEDES INTERESAR TAMBIÉN: Cómo hacer que tu información sea más difícil de encontrar en Internet

Utiliza una VPN

Así que si lo que quieres es limpiar el registro que queda en el almacenamiento local de tu teléfono, el modo incógnito se encarga de hacerlo de forma muy eficaz pero para ocultar tu navegación de tu ISP puedes recurrir a una red privada virtual (VPN). Los servidores suelen estar alojados en diferentes partes del mundo, permitiendo incluso conectarnos como si estuviésemos en ese territorio, en lugar de donde estamos realmente. El hecho de que las conexiones estén cifradas ayuda además a no dejar registros de nuestra navegación, de manera que las VPN (como la de Panda Security) son una opción prácticamente imprescindible para navegar de forma privada.

Borra mensajes

A no ser que utilices una aplicación de chat con destrucción automática de mensajes, ésta conservará los registros de tus conversaciones. A mucha gente le gusta revisar sus antiguas comunicaciones, pero no es necesario conservar todos los hilos desde hace años; puedes eliminar las más antiguas o irrelevantes manualmente, o probar una opción que requiere menos tiempo: borrar automáticamente tu historial de chat una vez transcurrido un periodo de tiempo determinado.

El borrado manual puede llevar mucho tiempo, pero no es sencillo. Por ejemplo, en la aplicación de mensajería de Android Mensajes, se elimina una conversación pulsando sobre ella unos segundos y luego tocando el icono de la papelera en la parte superior derecha de la pantalla. Por otro lado, algunas aplicaciones facilitan la eliminación de todo el historial de una sola vez.

En el caso de WhatsApp, abre la aplicación y dirígete a Ajustes > Chats > Historial de chats > Borrar todos los chats.

Otra solución es enviar únicamente los mencionados mensajes que se autodestruyen pasado un cierto tiempo. Esta opción está incluida en WhatsApp, Telegram, Facebook y Snapchat, entre otras aplicaciones.

Limita el registro de tus aplicaciones

Cada una de las aplicaciones de tu teléfono adoptará un sistema ligeramente diferente a la hora de registrar tus actividades. Algunas te permiten evitar miradas indiscretas utilizando el modo incógnito, mientras que otras dejarán de rastrearte si así lo estableces.

Hay millones de aplicaciones en el mercado, y no hay reglas estrictas sobre cómo evitar que registren tu comportamiento. Pero, en general, un buen primer paso es comprobar los ajustes antes mencionados: el modo de incógnito y la detención del seguimiento. Por ejemplo, la aplicación de YouTube tiene un modo incógnito, que no rastrea los vídeos que ves. Para activar este modo tanto en Android como en iOS, abre la aplicación, toca tu avatar en la parte superior derecha de la pantalla y elige Activar Incógnito.

Borra el historial de búsqueda

Muchas aplicaciones móviles almacenan los datos tanto localmente como en la nube, por lo que pueden sincronizar tu información con otros dispositivos. Eso significa que, para borrar los registros de búsqueda de tu teléfono, tendrás que eliminarlos en varias plataformas. Por ejemplo, tu cuenta de Google almacenará el historial de búsquedas que hayas realizado desde tu teléfono Android.

Para borrar estos datos, tienes que acceder a ellos desde la web. Abre tu navegador y dirígete a la página del historial de actividad de Google. Si el menú no aparece en el lateral de la ventana, haz clic en el botón correspondiente (tres líneas) de la parte superior izquierda y, a continuación, en Eliminar actividad. Establece el período de tiempo y el tipo de contenido -para borrar todo, debes buscar ‘Todo el tiempo’ y ‘Búsqueda’, respectivamente- y haz clic en Eliminar. Esto borrará tu historial de búsqueda en todos los productos vinculados a Google que utilices, incluidos Android y el motor de búsqueda de esta empresa.

Limpia todas las cookies y memoria caché del navegador

Las famosas cookies del navegador y la caché son las culpables de que, a través de ciertos sitios webs, puedan crear un perfil de nuestra navegación en Internet. Analizan nuestro comportamiento en base a la navegación que hacemos para saber nuestros gustos y preferencias que, posteriormente, forman parte del Big Data. Seguro que en más de una ocasión has estado, por ejemplo, viendo información sobre zapatillas de deporte en webs especializadas y poco después te aparecen banners publicitarios de zapatillas, aunque la web que visites entonces no tenga nada que ver.

 

 FUENTE ORIGINAL:  --Pandasecurity.com