Se ha reportado una vulnerabilidad crítica identificada como CVE-2024-31497 con una puntuación de 5.9 en CVSSv3 que afecta a todas las versiones anteriores a la 0.80, relacionada con el uso de claves ECDSA de 521 bits. La vulnerabilidad permitiría recuperar la clave privada de un usuario, por parte de un actor malicioso, mediante la posesión de mensajes firmados, propiciando que la clave pública contenga suficiente información para recuperar la clave privada y luego falsificar firmas como si fueran suyas, permitiendo iniciar sesión en cualquier servidor que usted utilice.
Además de afectar a PuTTY, también afecta a otros productos que incorporan una versión vulnerable del software:
- FileZilla (<= 3.66.5)
- WinSCP (<= 6.3.2)
- TortugaGit <= 2.15.0)
- TortugaSVN (<= 1.14.6)
Recomendación:
Se recomienda aplicar el parche de seguridad proveído por el desarrollador del software afectado, en el caso del cliente PuTTY actualizar a la versión 0.81.
Referencia
- https://thehackernews.com/2024/04/widely-used-putty-ssh-client-found.html
- https://securityonline.info/cve-2024-31497-critical-putty-vulnerability-exposes-private-keys-immediate-action-required/?expand_article=1
- https://nvd.nist.gov/vuln/detail/CVE-2024-31497