Ante la imposibilidad de actualizar OpenSSH se puede aplicar la siguiente mitigación a la vulnerabilidad CVE-2024-6387 llamada regreSSHion con los siguientes pasos:
Editar fichero: /etc/ssh/sshd_config
Añade: LoginGraceTime 0
Reinicia servicio: systemctl restart sshd.service
CVE-2024-6387 es una vulnerabilidad crítica que afecta a OpenSSH, permitiendo potencialmente que un atacante realice ciertas acciones no autorizadas debido a una mala gestión del tiempo de gracia en las conexiones SSH. Este problema puede ser explotado durante el tiempo en que el servidor espera la autenticación de un cliente.
Pasos para Mitigar la Vulnerabilidad:
Editar el Archivo de Configuración del Servidor SSH
sudo nano /etc/ssh/sshd_configBusca la configuración LoginGraceTime o añade la siguiente línea si no existe
LoginGraceTime 0Esta configuración desactiva el tiempo de gracia para la autenticación SSH, cerrando de inmediato las conexiones que no se autentiquen correctamente.
Reiniciar el Servicio SSH
Para que los cambios surtan efecto, reinicia el servicio SSH:
sudo systemctl restart sshd.serviceVerifica que el servicio se haya reiniciado correctamente
sudo systemctl status sshd.serviceImplicaciones de la Mitigación
Ventajas:
Reduce significativamente la ventana de explotación al eliminar el tiempo de gracia de autenticación.
No requiere actualización inmediata de OpenSSH, lo que es útil en sistemas donde no es posible realizar la actualización por restricciones de compatibilidad o políticas organizacionales.
Desventajas:
La eliminación del tiempo de gracia puede afectar la experiencia del usuario, especialmente si hay demoras en la conexión o si las credenciales se ingresan manualmente.
Esta mitigación no soluciona el problema subyacente, por lo que sigue siendo necesario planificar una actualización a una versión de OpenSSH que resuelva esta vulnerabilidad.