OpenSSH出现远程代码执行漏洞,网御星云提供优选解决方案
漏洞概述
1、基本描述
2024年7月1日,OpenSSH官方更新了一个存在于OpenSSH中的远程代码执行漏洞(CVE-2024-6387),该漏洞由于OpenSSH服务器(sshd)中信号处理程序竞争问题,未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。CVSS目前评分8.1分,请受影响的用户尽快采取措施进行防护。目前该漏洞POC(概念验证代码)已公开,存在被网络黑产利用进行挖矿或木马和僵尸网络等攻击的风险。该漏洞的综合评级为“高危”。
2、漏洞影响
OpenSSH<4.4.p1受影响(除非是针对 CVE-2006-5051 和 CVE-2008-4109 进行了单独修补)
8.5p1<=OpenSSH<9.8p1 受影响
3、漏洞成因
CVE-2024-6387 是 OpenSSH 服务中的一个严重漏洞,影响基于 glibc 的 Linux 系统。攻击者可以利用该漏洞在无需认证的情况下,通过竞态条件远程执行任意代码,如果客户端未在LoginGraceTime 秒内(默认情况下为 120 秒,旧版 OpenSSH 中为 600 秒)进行身份验证,则 sshd 的 SIGALRM处理程序将被异步调用,但该信号处理程序会调用各种非async-signal-safe的函数(例如syslog()),威胁者可利用该漏洞在基于 glibc 的 Linux 系统上以root 身份实现未经身份验证的远程代码执行。
4、修复建议
升级补丁
目前该漏洞已经修复,受影响用户可升级到OpenSSH 9.8p1 以上版本。
下载链接:
https://www.openssh.com/releasenotes.html
网御星云解决方案
建议一:基于漏洞扫描产品尽快对资产进行漏洞评估
网御星云漏洞扫描系统V6.0产品
网御星云漏洞扫描系统V6.0产品已紧急发布针对该漏洞的升级包,支持对该漏洞进行非授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
6070版本升级包为607000573,升级包下载地址:
https://leadsec.download.venuscloud.cn/
图1 升级后已支持该漏洞
网御星云漏洞扫描系统608X系列版本
网御星云漏洞扫描系统608X系列版本已紧急发布针对该漏洞的升级包,支持对该漏洞进行非授权扫描,用户升级标准漏洞库后即可对该漏洞进行扫描:
608X系列版本升级包为主机插件包6080000126-S6080000127.svs
漏扫插件包下载地址:
https://leadsec.download.venuscloud.cn/
图2 升级后已支持该漏洞
漏扫基线核查
通过网御星云漏洞扫描系统-配置核查模块对该漏洞影响的 openssh-server 软件包版本进行获取,使用智能化分析研判机制验证该漏洞是否存在,如果存在该漏洞建议更新到安全版本。如图3所示:
图3 基线核查已支持该漏洞检查能力
请使用网御星云漏洞扫描系统的用户尽快升级到最新版本,及时对该漏洞进行检测,以便尽快采取防范措施。
建议二:网御星云资产与脆弱性管理平台(ASM)排查受影响资产
网御星云资产与脆弱性管理平台实时采集并更新情报信息,对入库资产漏洞OpenSSH 远程代码执行漏洞(CVE-2024-6387)进行管理,如图4所示:
图4 情报管理模块已入库的OpenSSH 远程代码执行漏洞
网御星云资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则,以及现场资产管理实例的版本信息进行自动化碰撞,可第一时间命中受该漏洞影响的资产,如图5所示:
图5 情报命中的资产信息
建议三:基于安全管理和态势感知平台进行关联分析
用户可以通过网御星云安全管理和态势感知平台,进行关联策略配置,结合实际环境中系统日志和安全设备的告警信息进行持续监控,从而发现“OpenSSH远程代码执行”的漏洞利用攻击行为。
1)在网御星云的平台中,通过脆弱性发现功能针对“OpenSSH远程代码执行漏洞(CVE-2024-6387)”漏洞扫描任务,排查管理网络中受此漏洞影响的重要资产。
2)平台“关联分析”模块中,添加“L2_OpenSSH远程代码执行漏洞利用”,通过网御星云检测设备、目标主机系统等设备的告警日志,发现外部攻击行为。
通过分析规则自动将L2_OpenSSH远程代码执行漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中,作为内部情报数据使用。
3)添加“L3_OpenSSH远程代码执行漏洞利用成功”,条件日志名称等于或包含“L2_OpenSSH远程代码执行漏洞利用”,攻击结果等于“攻击成功”,目的地址引用资产漏洞或源地址匹配威胁情报,从而提升关联规则的置信度。
建议四:ATT&CK攻击链条分析与SOAR处置建议
ATT&CK攻击链分析
根据对CVE-2024-6387漏洞的攻击利用过程进行分析,攻击链涉及多个ATT&CK战术和技术阶段,覆盖的TTP包括:
TA0001初始访问: T1190利用面向公众的应用程序
TA0002执行: T1059命令和脚本解释器
TA0004权限提升:T1548滥用提权控制机制
处置方案建议和SOAR剧本编排
通过网御星云安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力,针对该漏洞利用的告警事件编排剧本,进行自动化处置。
北冥数据实验室
网御星云北冥数据实验室恪守以用户需求为中心、知识赋能产品为目标的核心理念,专注于深入研究和开发网络空间安全的基础知识。通过整合威胁和漏洞情报、网络空间资产以及云安全监测数据,制定全面的安全分析防护策略,以满足用户实际场景的需求。同时,致力于构建自动化调查和处置响应措施,形成场景化、结构化的知识工程体系,为各类安全产品、平台和安全运营提供强大的知识赋能。
网御星云北冥数据实验室将继续跟踪上述漏洞的相关情况,及时发布相关信息。如有需要,可与网御星云联系。
