18 ans plus tard, une faille désastreuse pour Linux fait son retour

On la croyait morte et enterrée depuis dix-huit ans. Malheureusement, la vulnérabilité CVE-2006-5051, corrigée en 2006, vient de refaire surface. C’est l’entreprise de sécurité informatique Qualys qui vient de tirer la sonnette d’alarme dans un article publié le 1er juillet. Le surnom de cette faille qui fait son retour ? RegreSSHion.

Un sobriquet bien trouvé : en effet, l’incident affecte OpenSSH. Il s’agit d’un ensemble d’outils servant à sécuriser les connexions au réseau et à contrôler à distance des ordinateurs, via des procédés de chiffrement afin de protéger les données échangées. C’est une implémentation libre de SSH (Secure Shell), un protocole de communication sécurisée.

Une mise à jour défectueuse qui remet la faille en place

Or, la nature du problème détecté par Qualys s’avère être une régression logicielle. Ici, un défaut est apparu dans OpenSSH à la suite d’une mise à jour d’une modification du code, ce qui a altéré le bon fonctionnement du logiciel. Cette détérioration de la qualité d’OpenSSH a eu lieu en octobre 2020 avec la révision OpenSSH 8.5p1.

Le problème est grave. D’abord, par la nature de la faille elle-même. Elle a reçu une note de sévérité comprise entre 8,1 et 9,3 sur 10. Plus le score est proche de la note maximale, plus la criticité est élevée. La dangerosité des failles informatiques est mesurée selon un protocole particulier, révisé de temps à autre, qu’on appelle le CVSS.

Elle a également fait l’objet de bulletins d’alerte de la part d’organismes comme le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR), pour la France, et de l’Institut national des normes et de la technologie (NIST) aux États-Unis.

Elle est aussi très grave quant à la nature du logiciel qui est affecté. « Sur la base de recherches […], nous avons identifié plus de 14 millions d’instances de serveurs OpenSSH potentiellement vulnérables et exposées à Internet », écrit Qualys. Signe de la sensibilité d’OpenSSH, il a reçu du soutien matériel ou financier de Google, DuckDuckGo et même l’UE.

D’après la description faite par le CERT-FR, « cette vulnérabilité permet à un attaquant non authentifié d’exécuter du code arbitraire à distance avec les privilèges root » sur certains « systèmes Linux 32 bits ». Une limite toutefois : « l’exploitation nécessite entre six et huit heures de connexions continues », ce qui réduit légèrement l’exposition.

Dans le détail, les versions d’OpenSSH concernées sont :

• Les versions d’OpenSSH antérieures à 4.4p1, sauf si elles ont été patchées pour les failles CVE-2006-5051 et CVE-2008-4109 ;
• Les versions 8.5p1 à 9.8p1 incluse, en raison de la suppression accidentelle d’un composant critique dans une fonction.

Il est à noter que les systèmes OpenBSD sont immunisés, car OpenBSD a mis en place dès 2001 un mécanisme qui empêche cette brèche d’avoir un quelconque effet néfaste. Les versions entre OpenSSH 4.4p1 et jusqu’à 8.5p1 (non inclus) sont également tranquilles. Pour les systèmes Linux 64, leur exposition à la menace est supposée, mais non prouvée.

La bonne nouvelle, c’est que cette nouvelle vulnérabilité baptisée par le nom de code CVE-2024-6387 peut être d’ores et déjà contenue, voire contrée. « En date du 1 juillet 2024, certaines distributions Linux ont proposé des correctifs pour des versions vulnérables », indique ainsi le CERT-FR, qui renvoie à sa documentation.