El precio de la regresión: Millones de servidores OpenSSH en riesgo
La comunidad de ciberseguridad se ha enfrentado a un serio revés. Un malicioso defecto, que afecta a OpenSSH, viene robando las noches de sueño de administradores en todo el mundo, quienes enfrentan el peligro de un compromiso completo del sistema.
La vulnerabilidad, conocida formalmente como CVE-2024-6387, podría permitir a los atacantes ejecutar código con privilegios máximos, incluso sin ninguna interacción por parte de los usuarios. Si se explota, esto abre la posibilidad a situaciones alarmantes incluyendo la toma completa de sistemas, la instalación de malware, la manipulación de datos y la creación de puertas traseras por parte de atacantes para lograr un acceso persistente.
Según estimaciones del equipo de Investigación de Amenazas de Qualys, más de 14 millones de servidores OpenSSH expuestos a internet podrían ser vulnerables. Además, datos anónimos recogidos de la base de clientes globales de Qualys revelan que unos 700,000 servidores de cara a internet son vulnerables, lo que representa aproximadamente el 31% de todos los casos.
La vulnerabilidad en cuestión ha sido bautizada como “regreSSHion” por los investigadores, reflejando su origen: ella es, en realidad, una regresión de CVE-2006-5051, un defecto reportado por primera vez en 2006. La regresión ocurre cuando un fallo previamente corregido vuelve a aparecer en una versión posterior de un software, generalmente debido a actualizaciones que reintroducen el problema de manera inadvertida. Este problema fue reincorporado accidentalmente en octubre de 2020 tras cambios de código.
Saeed Abbasi, gerente de producto en Qualys, señala que “esta vulnerabilidad representa la primera vulnerabilidad de ejecución de código remoto no autenticada en OpenSSH en casi dos décadas, permitiendo a los atacantes obtener acceso root completo a los sistemas afectados sin autenticación.”
Callie Guenther, gerente senior de investigación de amenazas en Critical Start, recomienda a los equipos de seguridad considerar las siguientes medidas: aplicar inmediatamente parches para OpenSSH, restringir el acceso SSH a través de controles de red, implementar mecanismos de detección de intrusiones y segmentar las redes para detectar intentos de explotación.
Sin embargo, si no pueden aplicar los parches de inmediato, Guenther sugiere configurar LoginGraceTime a 0 para prevenir la explotación, aunque advierte que esto puede exponer los sistemas a posibles denegaciones de servicio.
Este problema subraya la importancia de realizar pruebas de regresión exhaustivas para evitar la reintroducción de vulnerabilidades conocidas en el ambiente. Y es que en la ciberseguridad, un paso atrás puede tener consecuencias devastadoras.
Sin duda, el reto está lanzado. Pero es en situaciones como estas donde la comunidad de seguridad demuestra su valor, coordinando esfuerzos para contrarrestar estas amenazas y crear un ciberespacio seguro y confiable.