Les chercheurs ont averti d’une vulnérabilité critique affectant l’utilitaire de réseau OpenSSH qui peut être exploitée pour donner aux attaquants un contrôle total des serveurs Linux et Unix sans nécessiter d’authentification. La vulnérabilité, répertoriée sous le code CVE-2024-6387, permet l’exécution de code à distance non authentifié avec des droits système de type root sur les systèmes Linux basés sur glibc, une implémentation open source de la bibliothèque standard en langage C. La vulnérabilité est due à une régression de code introduite en 2020 qui a réintroduit la CVE-2006-5051, une vulnérabilité qui avait été corrigée en 2006. Avec des milliers, voire des millions, de serveurs vulnérables peuplant Internet, cette dernière vulnérabilité pourrait représenter un risque important. « Cette vulnérabilité, si elle est exploitée, pourrait entraîner une compromission complète du système où un attaquant pourrait exécuter un code arbitraire avec les plus hauts privilèges, entraînant une prise de contrôle complète du système, l’installation de logiciels malveillants, la manipulation de données et la création de portes dérobées pour un accès persistant », a écrit Bharat Jogi, le directeur principal de la recherche sur les menaces chez Qualys, la société de sécurité qui l’a découverte. « Elle pourrait faciliter la propagation sur le réseau, permettant aux attaquants d’utiliser un système compromis comme point d’entrée pour traverser et exploiter d’autres systèmes vulnérables au sein de l’organisation. » Le risque est en partie alimenté par le rôle central que joue OpenSSH dans pratiquement tous les réseaux internes connectés à Internet. Il fournit un canal pour que les administrateurs se connectent à distance à des appareils protégés ou d’un appareil à un autre à l’intérieur du réseau. La capacité d’OpenSSH à prendre en charge de multiples protocoles de chiffrement forts, son intégration dans presque tous les systèmes d’exploitation modernes, et son emplacement à la périphérie des réseaux contribuent encore davantage à sa popularité. Outre l’omniprésence des serveurs vulnérables peuplant Internet, le CVE-2024-6387 offre également un moyen puissant d’exécuter des tiges de code malveillant avec les plus hauts privilèges, sans nécessiter d’authentification. La faille découle d’une mauvaise gestion du gestionnaire de signaux, un composant de glibc pour répondre à des événements potentiellement graves tels que des tentatives de division par zéro. Lorsqu’un appareil client initie une connexion mais ne s’authentifie pas avec succès dans un délai alloué (par défaut de 120 secondes), les systèmes OpenSSH vulnérables appellent ce qui est connu comme un gestionnaire SIGALRM de manière asynchrone. La faille réside dans sshd, le moteur principal d’OpenSSH. Qualys a nommé la vulnérabilité regreSSHion.
« Survivre cet été sur Internet »
Un après-midi d’août, alors qu’un suprémaciste blanc conduisait une voiture à travers une foule de manifestants pacifiques à Charlottesville, en
