Qualys hanno comunicato pubblicamente la scoperta di una grave vulnerabilità di sicurezza che ad oggi interessa qualcosa come 14 milioni di server con sistema operativo a nucleo Linux, esposti sulla rete Internet.
OpenSSH e’ acronimo di Open Secure Shell ed e’ una implementazione open source del protocollo SSH (Secure Shell Protocol) ampiamente utilizzato per la gestione remota di computer sia workstation, piccolissimi computer a scheda singola come i Raspberry Pi sia i computer di dimensione più elevata come i server.
La vulnerabilità e’ stata denominata regreSSHion per lasciare intendere che in realtà essa e’ il frutto della disattenzione dei programmatori informatici che gia’ avevano tentato di risolvere un precedente “problema” introducendone pero’ uno nuovo. La regressione del codice insomma.
Lo sfruttamento della lacuna di sicurezza in questione portare a una compromissione completa del sistema, consentendo a un attaccante di eseguire codice arbitrario con i massimi privilegi. Le conseguenze includono l’installazione di malware, la manipolazione dei dati e la creazione di backdoor per un accesso persistente.
Il perché del nome regreSSHion
In OpenSSH si è verificata una “regressione” (da qui il nome dell’attacco). Nell’ambito dello sviluppo software, una regressione si verifica quando un difetto, una volta risolto, riappare in un rilascio successivo a causa di modifiche o aggiornamenti che reintroducono involontariamente il problema.
Nel caso di OpenSSH nel 2006 fu segnalata e corretta una vulnerabilità significativa: CVE-2006-5051. Con la pubblicazione di OpenSSH 8.5p1 di ottobre 2020, il problema di sicurezza è tornato nel codice dell’applicazione.
Tutte le versioni di OpenSSH dalla 8.51p compresa fino alla 9.8p1 (esclusa) soffrono della grave vulnerabilità descritta da Qualys. Nello specifico, una corsa critica nel programma servizio in esecuzione (anche detto in gergo demone) sshd permette l’esecuzione di codice da remoto in modalità root sui sistemi basati su glibc.
La corsa critica nei programmi è un difetto del sistema in cui il comportamento del software dipende dalla sequenza o dalla tempistica delle operazioni eseguite da più thread o processi. Quando due o più operazioni competono per risorse condivise, il risultato finale può variare a seconda dell’ordine con cui le operazioni sono eseguite. La libreria glibc, o GNU C Library, è la libreria standard del linguaggio C per i sistemi operativi GNU/Linux. Fornisce le funzioni di base necessarie per eseguire operazioni di basso livello, come gestione della memoria, input/output e gestione delle stringhe.
Una possibile soluzione al problema
Il primo passo consiste ovviamente nel verificare la versione di OpenSSH in uso sul sistema. È possibile digitare quanto segue in una finestra del terminale:
sudo sshd -V
A questo punto, nel caso in cui si usasse una versione vulnerabile del modulo server, è necessario installare la patch correttiva. Per mettersi al riparo da qualunque rischio, il modo migliore è certamente aggiornare OpenSSH alla versione 9.8p1 del 1° luglio 2024 (o successive).
