È stata scoperta una grave vulnerabilità di race condition nel modo in cui il server di OpenSSH (sshd) gestisce i segnali, che interessa i sistemi che eseguono AlmaLinux 9 e CentOS 9. Se un utente remoto avvia una connessione ma non riesce ad autenticarsi entro un certo timeout, il segnale SIGALRM viene attivato in modo asincrono. In particolare, il gestore del segnale effettua chiamate a funzioni come syslog(), che non sono sicure da usare in questo contesto. Di conseguenza, un exploit riuscito potrebbe consentire l’esecuzione di codice remoto (RCE) da parte di un utente non privilegiato, una minaccia significativa per la sicurezza dei server.

Questo problema riguarda gli host che eseguono OpenSSH versione 8.7p1-43.el9, compresi quelli che utilizzano CentOS Linux 9. La vulnerabilità, identificata come CVE-2024-6409, è citata nel changelog della build di OpenSSH. È importante notare che gli scanner di sicurezza come Nessus non possono verificare direttamente la falla, ma riportano invece informazioni basate sulle versioni del software rilevate.

Cosa è a rischio

OpenSSH è uno dei servizi più comunemente utilizzati sui server Linux per l’amministrazione remota sicura. Una vulnerabilità nel suo demone principale (sshd) mette a rischio tutti i sistemi di accesso remoto e di automazione.

Un esempio di sistema interessato mostra la versione del pacchetto vulnerabile installata:

[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64

Azione consigliata

Se si sta utilizzando AlmaLinux 9, CentOS 9 o qualsiasi altro prodotto derivato che utilizzi la versione 8.7p1-43.el9 di OpenSSH, è necessario aggiornare immediatamente a una versione sicura – openssh-8.7p1-45.el9 o più recente.

Procedura di aggiornamento

Per verificare la versione di OpenSSH installata:

rpm -qa | grep openssh-server

Per applicare l’aggiornamento:

sudo dnf update openssh

Dopo l’aggiornamento, riavviare il servizio SSH:

sudo systemctl restart sshd

Infine, confermare la nuova versione:

rpm -qa | grep openssh-server

Suggerimento aggiuntivo per la mitigazione: Controllare le impostazioni di LoginGraceTime

Come passo supplementare, potete rivedere manualmente la vostra configurazione SSH eseguendo:

nano /etc/ssh/sshd_config

All’interno del file, cercate la riga:

#LoginGraceTime 0

Questa direttiva controlla il tempo di attesa del demone SSH per l’autenticazione dell’utente. La regolazione di questa impostazione può contribuire a ridurre la superficie di attacco riducendo al minimo la finestra di connessione consentita per i client non autenticati.

Server monitorati da AvaHost

Se i vostri server sono monitorati da AvaHost, abbiamo già identificato i sistemi interessati. Ad esempio, il server lshost4.alexhost.com sta eseguendo la versione vulnerabile e deve essere aggiornato.

Conclusione

Questa vulnerabilità rappresenta un pericolo reale e presente per i sistemi privi di patch. Consigliamo vivamente a tutti gli amministratori di verificare e aggiornare senza indugio la propria installazione di OpenSSH. Il rischio di esecuzione di codice remoto non può essere sopravvalutato, soprattutto su infrastrutture accessibili al pubblico.

Per informazioni tecniche dettagliate, consultare la voce ufficiale CVE:
🔗 CVE-2024-6409 – NIST
rapporto Nessus

Rimanete al sicuro: mantenete i vostri sistemi patchati e monitorati.