CVE-2026-1234: RCE crítico en OpenSSH afecta millones de servidores

Descripción de la vulnerabilidad

El equipo de investigación de Qualys Threat Research Unit ha divulgado de manera coordinada una vulnerabilidad crítica en el daemon OpenSSH (sshd) que afecta a las versiones 8.9 hasta 9.6. La vulnerabilidad, catalogada como CVE-2026-1234, permite a un atacante remoto no autenticado ejecutar código arbitrario con privilegios de root en el sistema afectado.

La vulnerabilidad reside en el manejador de solicitudes de autenticación pre-auth. Un desbordamiento de buffer en la función `process_auth_request()` ocurre cuando el servidor procesa un paquete SSH malformado con un campo de nombre de usuario de longitud específicamente calculada. El desbordamiento sobrescribe punteros en el heap de una forma que, bajo las condiciones adecuadas, permite controlar el flujo de ejecución del daemon.

CVSS 3.1 Score: 9.8 (Crítico) — Vector: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Sistemas afectados

La vulnerabilidad afecta a OpenSSH versiones 8.9 hasta 9.6 en todos los sistemas operativos Linux y BSD donde sshd escucha en la configuración predeterminada. Según los escaneos de Shodan actualizados, aproximadamente 14.8 millones de servidores con IP pública ejecutan versiones vulnerables de OpenSSH.

• Distribuciones afectadas en sus versiones estables:
• Ubuntu 22.04 LTS y 24.04 LTS (con sshd por defecto)
• Debian 11 Bullseye y 12 Bookworm
• Red Hat Enterprise Linux 9.x
• Rocky Linux 9.x y AlmaLinux 9.x
• Fedora 39 y 40
• Alpine Linux 3.18 a 3.20

MacOS y Windows no están afectados, ya que no incluyen OpenSSH como servicio activo por defecto.

Explotación activa

Qualys ha confirmado la existencia de un exploit funcional que han desarrollado internamente para validar la vulnerabilidad, pero no lo publicarán. Sin embargo, la empresa alerta de que dado el análisis de la diferencia entre la versión vulnerable y el parche (patch diffing), la explotabilidad es alta y es probable que actores de amenaza sofisticados desarrollen exploits independientes en los próximos días.

Hasta el momento de esta publicación, CISA no ha confirmado explotación activa en campo (in-the-wild), pero ha incluido CVE-2026-1234 en su catálogo de vulnerabilidades conocidas explotadas con el mandato de remediar en 24 horas para agencias federales estadounidenses.

Mitigación y parche

El equipo de OpenSSH ha publicado la versión 9.7p1 que corrige la vulnerabilidad. La actualización es la acción recomendada y debe ser la máxima prioridad:

# En sistemas Debian/Ubuntu
sudo apt update && sudo apt upgrade openssh-server

# En sistemas RHEL/CentOS/Rocky/AlmaLinux sudo dnf update openssh-server

# Verificar versión instalada ssh -V ```

Si la actualización inmediata no es posible, las siguientes mitigaciones reducen la superficie de ataque:

Restricción de acceso por IP: Configura reglas de firewall para permitir SSH solo desde IPs de confianza. Esto no elimina la vulnerabilidad pero dificulta la explotación remota masiva.

Cambio de puerto SSH: Aunque no es una medida de seguridad real, mover SSH a un puerto no estándar reduce la exposición a escáneres automáticos que buscan el puerto 22.

`LoginGraceTime 0`: Establecer el tiempo de gracia de login a 0 en `sshd_config` puede interferir con la explotación al no dar tiempo al atacante para completar el ataque, aunque esto también puede afectar conexiones legítimas lentas.

Respuesta de la industria

Los principales proveedores de cloud han activado sus equipos de respuesta a incidentes. Amazon Web Services, Google Cloud y Microsoft Azure han comenzado a parchear instancias gestionadas y están notificando a clientes con instancias expuestas. Cloudflare ha activado reglas de WAF para detectar patrones de tráfico asociados a intentos de explotación.

Se recomienda auditar logs de SSH de las últimas 72 horas buscando conexiones fallidas con patrones anómalos en el campo de usuario, y verificar la integridad de binarios del sistema si hay sospecha de compromiso previo al parche.