Grave Vulnerabilità in LibSSH

Proto: N061018.

Con la presente Yoroi desidera informarLa relativamente ad una grave vulnerabilità all’interno delle librerie LibSSH, tecnologia open-source alla base di un grande numero di sistemi di amministrazione basati sul protocollo crittografico di rete Secure Shell. La criticità è nota con l’identificativo CVE-2018-10933.

A causa di lacune nella logica server di gestione delle transizioni di stato del protocollo, un attaccante può essere in grado di autenticarsi sui sistemi bersaglio senza inserire alcuna credenziale, con il solo ausilio di messaggi di stato inattesi.

Questa circostanza è stata confermata dal Manutentore in un apposito bollettino di sicurezza, nel quale risultano afflitte tutte le versioni della libreria libssh >=0.6 e dove sono state rilasciate le versioni 0.8.4 e 0.7.6 in grado di mitigare la criticità. Si noti inoltre che la problematica è limitata alle librerie libssh e non alle implementazioni del protocollo SSH del software OpenSSH.

Vari produttori di sistemi linux come Canonical, SuSE, RedHat e Debian hanno già recepito le patch di sicurezza all’interno dei loro cicli di aggiornamento, tuttavia non risulta ancora chiara l’effettiva diffusione della vulnerabilità in quanto la libreria è utilizzata in tecnologie di terze parti come GitHub Enterprise, servizi SFTP, appliance di sicurezza come F5 BIG-IP, apparati di rete e dispositivi IoT.

Per questa ragione Yoroi consiglia di monitorare gli aggiornamenti di sicurezza e pianificare l’applicazione delle patch agli eventuali dispositivi vulnerabili presenti all’interno delle Vostre infrastrutture.

Figura 1. Potenziale esposizione internet servizi SSH basati LibSSH (Fonte:ShodanHQ)

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index