7 Ottobre 2025 10:53    Alert

OpenSSH: PoC pubblico per lo sfruttamento di CVE-2025-61984. RCE via ProxyCommand in Git submodule

Il CSIRT Italia ha pubblicato un avviso relativo alla disponibilità di un Proof of Concept (PoC) per la vulnerabilità CVE-2025-61984 in OpenSSH, classificata come Command Injection (CVSS 3.6). La falla interessa tutte le versioni anteriori alla 10.1 e deriva da un’inadeguata sanitizzazione dei caratteri di controllo nel nome utente, sfruttata tramite la direttiva ProxyCommand.​

Quando la configurazione SSH include %r non racchiuso tra apici in un ProxyCommand, un nome utente costruito con un carattere di nuova riga (\n) seguito da un payload malevolo provoca un errore di sintassi sulla prima riga e consente l’esecuzione del comando successivo nel contesto shell, determinando l’escalation a RCE.​

Il vettore di attacco più pratico sfrutta Git submodule malevoli: clonando ricorsivamente un repository (ad esempio git clone --recursive) che specifica un URL contenente il nome utente multiriga, il client SSH esegue automaticamente il ProxyCommand, attivando il PoC. Strumenti come Teleport®, che generano automaticamente ProxyCommand con %r, ampliano la superficie d’attacco.​

Impatto e diffusione 

  • Impatto: esecuzione remota di codice sul sistema client con privilegi utente corrente. 
  • Diffusione: tutte le piattaforme che usano OpenSSH < 10.1 e configurazioni SSH personalizzate con ProxyCommand.

 

Azioni consigliate

  • Aggiornare immediatamente OpenSSH alla versione 10.1 o successiva, che blocca i caratteri di controllo nei nomi utente.
  • Mitigazione temporanea: racchiudere il token %r tra apici singoli ('%r') in ogni direttiva ProxyCommand per impedire l’espansione malevola.
  • Verifica configurazioni: ricercare e correggere tutte le occorrenze di ProxyCommand non sicure nei file ssh/config e ssh/ssh_config.
  • Limitare exploit via Git: disabilitare l’uso automatico di SSH per submodule (git config --global protocol.ssh.allow user) e favorire HTTPS.
  • Monitoraggio: controllare log SSH e processi figli sospetti generati da ssh/git.​

 

Fonti: ACN, Wiz, Cyber Security News