CVE-2024-6387|【风险提示】OpenSSH 远程代码执行漏洞

前言

OpenSSH是一套基于SSH协议，专为安全访问和管理远程计算机设计的工具，它提供了加密通讯的功能。该套件包括SSH客户端和核心的SSHD服务端组件。SSHD负责处理来自远程计算机的连接请求，并支持安全的远程登录、文件传输以及隧道代理等多种功能。

2024年7月1日，互联网上公开了一个关于OpenSSH的远程代码执行漏洞（CVE-2024-6387）。此漏洞的利用难度较大，其潜在危害较高，因此，建议所有使用受影响版本的企业尽快采取修复措施。

漏洞描述

漏洞成因

CVE-2024-6387是OpenSSH服务器中一个严重的安全漏洞，它主要影响基于glibc的Linux系统。该漏洞允许攻击者在无需任何认证的情况下，利用竞态条件远程执行任意代码，从而可能完全控制受影响的系统。此漏洞的根源在于处理超时信号时存在不安全操作，该问题最早在OpenSSH 8.5p1版本中引入。

CVE-2024-6387漏洞概述

• 漏洞影响：成功利用此漏洞的攻击者可以以root身份执行未经身份验证的远程代码（RCE）。
• 利用时间：在特定版本的32位操作系统上，攻击者最短需6-8小时即可获得最高权限的root shell。64位机器上目前无快速利用方案，但未来可能改进。
• 处置优先级：高
• 漏洞类型：远程代码执行
• 危害等级：高
• 触发方式：网络远程
• 权限认证要求：无需权限
• 系统配置要求：默认配置下即可利用
• 用户交互要求：无需用户交互
• 利用成熟度：部分EXP已公开，适配单一版本，针对32位系统
• 批量可利用性：可使用通用原理的POC/EXP进行检测和利用
• 修复复杂度：中，官方已提供升级修复方案

影响版本

8.5p1 <= OpenSSH < 9.8p1

解决方案

临时缓解方案

如果暂时无法更新或重新编译 sshd

1. 可以在配置文件中将 LoginGraceTime 设置为 0（永不超时）。这样虽然会使 sshd 暴露于拒绝服务攻击（占满所有 Startups 连接），但可以避免远程代码执行风险。
2. 启用 fail2ban 等防护机制，封禁发生过多次失败登录 ssh 尝试的来源 IP。

升级修复方案

将 OpenSSH 更新到最新版本 9.8 或者各发行版本的修复版本。

时间线

7月1日 漏洞在互联网披露

7月1日 漏洞利用部分细节在互联网公开

7月1日 长亭安全应急响应中心发布漏洞通告

7月1日  奇安信 CERT发布漏洞通告

“

参考资料：

[1].https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-6387

[2].https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

[3].https://www.secrss.com/articles/67636