Une grave vulnérabilité de type “race condition” a été découverte dans la manière dont le serveur OpenSSH (sshd) gère les signaux, ce qui affecte les systèmes fonctionnant sous AlmaLinux 9 et CentOS 9. Si un utilisateur distant initie une connexion mais ne parvient pas à s’authentifier dans un certain délai, le signal SIGALRM est déclenché de manière asynchrone. Le gestionnaire de signal fait des appels à des fonctions telles que syslog(), qui ne sont pas sûres dans ce contexte. Par conséquent, une exploitation réussie pourrait permettre l’exécution de code à distance (RCE) par un attaquant non privilégié – une menace importante pour la sécurité du serveur.

Ce problème affecte les hôtes utilisant la version 8.7p1-43.el9 d’OpenSSH, y compris ceux utilisant CentOS Linux 9. La vulnérabilité, identifiée comme CVE-2024-6409, est référencée dans le journal des modifications de la version d’OpenSSH. Il est important de noter que les scanners de sécurité tels que Nessus ne vérifient pas directement la faille, mais se basent sur les versions de logiciels détectées.

Ce qui est en danger

OpenSSH est l’un des services les plus couramment utilisés sur les serveurs Linux pour l’administration à distance sécurisée. Une vulnérabilité dans son démon central (sshd) met en danger tous les systèmes d’accès à distance et d’automatisation.

Un exemple de système affecté montre la version vulnérable du paquetage installé :

[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64

Action recommandée

Si vous utilisez AlmaLinux 9, CentOS 9, ou tout autre dérivé utilisant OpenSSH version 8.7p1-43.el9, vous devez immédiatement mettre à jour vers une version sécurisée – openssh-8.7p1-45.el9 ou plus récente.

Procédure de mise à jour

Pour vérifier la version d’OpenSSH installée, procédez comme suit

rpm -qa | grep openssh-server

Pour appliquer la mise à jour :

sudo dnf update openssh

Après la mise à jour, redémarrez le service SSH :

sudo systemctl restart sshd

Enfin, confirmez la nouvelle version :

rpm -qa | grep openssh-server

Conseil d’atténuation supplémentaire : Vérifier la configuration de LoginGraceTime

En guise d’étape supplémentaire, vous pouvez revoir manuellement votre configuration SSH en exécutant :

nano /etc/ssh/sshd_config

À l’intérieur du fichier, recherchez la ligne suivante

#LoginGraceTime 0

Cette directive contrôle la durée pendant laquelle le démon SSH attend qu’un utilisateur s’authentifie. L’ajustement de ce paramètre peut aider à réduire la surface d’attaque en minimisant la fenêtre de connexion autorisée pour les clients non authentifiés.

Serveurs surveillés par AvaHost

Si vos serveurs sont surveillés par AvaHost, nous avons déjà identifié les systèmes affectés. Par exemple, le serveur lshost4.alexhost.com utilise la version vulnérable et doit être mis à jour.

Conclusion

Cette vulnérabilité représente un danger réel et présent pour les systèmes non corrigés. Nous conseillons vivement à tous les administrateurs de vérifier et de mettre à jour leur installation d’OpenSSH sans délai. Le risque d’exécution de code à distance ne peut être surestimé, en particulier sur les infrastructures accessibles au public.

Pour des informations techniques détaillées, se référer à l’entrée CVE officielle :
🔗 CVE-2024-6409 – NIST
🔗 Nessus Report

Restez en sécurité – veillez à ce que vos systèmes soient patchés et surveillés.