OpenSSH expuso durante 15 años una vulnerabilidad que permitía acceso root total

Introducción

OpenSSH, una de las herramientas fundamentales para la administración segura de sistemas basados en Unix y Linux, ha estado expuesta durante los últimos 15 años a una vulnerabilidad crítica que podría permitir a actores maliciosos obtener acceso root completo mediante la explotación de certificados SSH manipulados. Este fallo, clasificado como un problema de reutilización de código, ha pasado inadvertido desde 2007 y afecta a millones de servidores en todo el mundo, lo que subraya la importancia de una revisión constante incluso en componentes de seguridad ampliamente auditados.

Contexto del Incidente o Vulnerabilidad

El incidente ha sido identificado en la gestión de certificados SSH, concretamente en la forma en que OpenSSH interpreta los campos de “principals” dentro de los certificados. Durante años, la inclusión de caracteres coma (,) en estos campos ha sido interpretada erróneamente como un separador de listas, posibilitando la manipulación maliciosa del contenido y, en consecuencia, la elevación de privilegios hasta obtener una shell con permisos de root. El fallo afecta, entre otras versiones, a OpenSSH desde la versión 5.4 (marzo de 2010) hasta la 9.7, liberada en junio de 2024.

Detalles Técnicos

La vulnerabilidad ha sido registrada como CVE-2024-6387 y reside en el módulo de validación de certificados SSH de OpenSSH. En concreto, durante la validación de los “principals” en los certificados de usuario, el parser de OpenSSH permitía que un atacante incluyera comas dentro del campo, lo que provocaba que el sistema interpretase una sola entrada como múltiples identidades válidas. Si uno de los “principals” manipulados coincidía con una cuenta privilegiada (por ejemplo, “root”), se permitía la autenticación y el acceso total al sistema.

El vector de ataque requiere la capacidad de enviar certificados SSH personalizados al servidor vulnerable. Herramientas como Metasploit o Cobalt Strike podrían ser adaptadas para automatizar la explotación una vez obtenida la clave de firma de CA o mediante ataques internos. En términos de MITRE ATT&CK, esta vulnerabilidad encaja principalmente en las técnicas T1078 (Valid Accounts) y T1068 (Exploitation for Privilege Escalation).

Entre los indicadores de compromiso (IoC) se incluyen logs de autenticación con campos de principals anómalos, especialmente aquellos que contienen comas, y la aparición de conexiones SSH desde direcciones IP internas o externas no habituales, autenticadas mediante certificados.

Impacto y Riesgos

El impacto de esta vulnerabilidad es crítico. Al permitir la obtención de una shell root, los atacantes podrían tomar control total del sistema afectado, manipular o exfiltrar información sensible, instalar puertas traseras persistentes o pivotar hacia otros sistemas dentro de la red corporativa.

Según estimaciones recientes, más del 70% de los servidores públicos y privados utilizan OpenSSH como principal mecanismo de acceso remoto, y se estima que decenas de millones de sistemas podrían haber estado expuestos desde 2010. Un exploit exitoso podría derivar en el incumplimiento de normativas como GDPR y NIS2, exponiendo a las organizaciones a sanciones económicas que superan los 20 millones de euros o el 4% de la facturación anual global, además de dañar gravemente la reputación corporativa.

Medidas de Mitigación y Recomendaciones

OpenSSH ha publicado parches para versiones afectadas (9.7 y anteriores). Es fundamental que los administradores de sistemas actualicen a la última versión disponible cuanto antes. Además, se recomienda:

– Revisar y auditar los certificados SSH existentes, prestando especial atención a los campos de principal.
– Restringir el uso de certificados de CA a los estrictamente necesarios.
– Monitorizar los logs de autenticación SSH en busca de patrones inusuales.
– Configurar alertas SIEM para intentos de acceso SSH desde ubicaciones no autorizadas o con principals atípicos.
– Implementar autenticación multifactor (MFA) donde sea posible.
– Desplegar controles de acceso basado en roles (RBAC) y políticas de Zero Trust.

Opinión de Expertos

Expertos de la comunidad de ciberseguridad, como miembros de OpenBSD y analistas de Red Team, han señalado que este tipo de fallo ilustra la importancia de la revisión periódica de código, incluso en componentes ampliamente auditados. Según John H. Sawyer, director de incident response en una multinacional del sector, “la reutilización inadvertida de código y las asunciones sobre el tratamiento de entradas pueden provocar brechas graves de seguridad, especialmente en software crítico como OpenSSH”.

Implicaciones para Empresas y Usuarios

Para las empresas, la explotación de esta vulnerabilidad podría suponer el compromiso total de infraestructuras críticas, pérdida de datos y exposición a sanciones regulatorias. Los usuarios finales que dependan de servidores remotos para operaciones sensibles deben exigir a sus proveedores la actualización inmediata y la auditoría de las cadenas de confianza SSH. El incidente refuerza la necesidad de planes de respuesta ante incidentes y de un ciclo de gestión de vulnerabilidades maduro, alineado con las mejores prácticas y marcos como NIST SP 800-53.

Conclusiones

El descubrimiento de esta vulnerabilidad en OpenSSH tras 15 años de exposición es un recordatorio contundente de que la seguridad no es un estado, sino un proceso continuo. Las organizaciones deben actuar con celeridad para parchear sus sistemas, revisar sus políticas de acceso y fortalecer sus controles de autenticación. Solo así podrán mitigar el riesgo inherente a la confianza en herramientas fundamentales como OpenSSH y cumplir con las exigencias regulatorias y de mercado actuales.

(Fuente: www.securityweek.com)