OpenSSH
Recentemente è stata scoperta una vulnerabilità critica in OpenSSH, denominata CVE-2024-6387, che consente agli attaccanti di eseguire codice arbitrario con privilegi elevati, compromettendo completamente il sistema.
Dettagli della vulnerabilità
Il nome in codice è RegreSSHion e deriva dalla presa di coscienza che si tratta di una regressione di codice, ovvero la reintroduzione di una falla già corretta in passato. Le versioni di OpenSSH dalla 4.4p1 alla 8.5p1 esclusa sono immuni a CVE-2024-6387 grazie a una patch precedentemente applicata che andava a risolvere la vulnerabilità CVE-2006-5051. Le versioni antecedenti alla 4.4p1 sono invece vulnerabili a meno che non siano state applicate patch specifiche per CVE-2006-5051 e CVE-2008-4109.
Impatto sui sistemi
Questa vulnerabilità è più impattante sui sistemi a 64 bit ma ad oggi si contano più di 14 milioni di server OpenSSH esposti. Da una ricerca si evince che i sistemi operativi OpenBSD non risultano essere affetti da questa vulnerabilità grazie ad una diversa gestione introdotta del 2001.
Mani in Pasta: aggiornare OpenSSH con Ansible
Per mitigare questa vulnerabilità, è fondamentale aggiornare OpenSSH alla versione 9.8p1 o successiva. Possiamo farlo utilizzando un playbook Ansible per sistemi basati su RHEL (Red Hat Enterprise Linux) e Debian. Ecco una base dalla quale partire per aggiornare i vostri sistemi in modo veloce e automatizzato.
Playbook Ansible:
---
- name: Aggiornare OpenSSH su sistemi Linux
hosts: all
become: yes
tasks:
- name: Aggiornare OpenSSH su sistemi RHEL-based
when: (ansible_os_family == "RedHat") or (ansible_os_family == "Rocky")
yum:
name: openssh
state: latest
update_cache: yes
- name: Aggiornare OpenSSH su sistemi Debian-based
when: ansible_os_family == "Debian"
apt:
name: openssh-server
state: latest
update_cache: yes
e creiamo un inventory per i sistemi che vogliamo aggiornare. Ad esempio:
linux1 ansible_host=192.168.1.101
linux2 ansible_host=192.168.1.102
...
Esecuzione del playbook
- Salvare il playbook update_openssh.yml.
- Eseguire il playbook:
ansible-playbook -i inventory update_openssh.yml
Assicurarsi di sostituire inventory con il percorso del proprio file di inventario Ansible che elenca i sistemi da aggiornare.
Conclusione
È essenziale aggiornare immediatamente OpenSSH alla versione più recente per proteggere i sistemi dalle potenziali minacce rappresentate dalla vulnerabilità CVE-2023-38408. Utilizzando strumenti come Ansible, è possibile automatizzare e semplificare il processo di aggiornamento su larga scala, garantendo che tutti i sistemi siano protetti tempestivamente.
Le opinioni in quanto tali sono opinabili e nulla ti vieta di approfondire l’argomento.
Risorse: