数百万 OpenSSH 服务器可能遭受远程 regreSSHion 攻击（CVE-2024-6387）

数百万台 OpenSSH 服务器可能受到新披露的安全漏洞影响，该漏洞可被利用进行未经身份验证的远程代码执行。

该漏洞编号为 CVE-2024-6387，名为regreSSHion，是由网络安全公司 Qualys 的威胁研究部门发现的。它被描述为与2021 年的Log4Shell漏洞一样严重，并且非常严重。

尽管 Qualys 的研究人员尚未对该 CVE 进行评分，但他们将其描述为“关键”，存在重大安全风险。

该公司的研究人员发现，OpenSSH 服务器进程“sshd”受到信号处理程序竞争条件的影响，允许在基于 glibc 的 Linux 系统上以 root 权限执行未经身份验证的远程代码。目前尚不清楚是否可以在 Windows 和 macOS 系统上利用该漏洞。

Qualys威胁研究部门高级主管Bharat Jogi在报告中表示：“该漏洞一旦被利用，可能导致整个系统被入侵，攻击者可以以最高权限执行任意代码，从而完全接管系统、安装恶意软件、操纵数据以及创建后门以实现持续访问。”

OpenSSH 旨在在客户端-服务器架构中通过不安全的网络提供安全通道，被企业广泛用于远程服务器管理和安全数据通信。OpenSSH 是一个基于安全外壳协议的网络安全功能集合，支持多种加密技术，可确保通信、自动化流程和文件传输的安全。

据 Qualys 称，使用 Shodan 和 Censys 服务进行的搜索显示，有超过 1400 万个可能存在漏洞的 OpenSSH 实例可直接从互联网访问。Qualys 自己的客户数据显示，大约有 70 万个暴露在互联网上的系统似乎存在漏洞。

该安全公司表示，CVE-2024-6387 是之前已修补的漏洞 CVE-2006-5051 的回归。具体来说，该漏洞于 2020 年 10 月随着 OpenSSH 8.5p1 的发布而再次出现。

Qualys 指出，由于 2001 年引入的机制，OpenBSD 系统不会受到影响。

该漏洞可能存在于 macOS 和 Windows 中，但研究人员尚未确认这些系统上的可利用性，需要进行单独分析以确定这些操作系统是否存在漏洞。

该漏洞最近在 9.8p1 版本发布时被意外消除。无法立即升级的组织可以应用供应商即将发布的补丁。

为了解决或缓解 OpenSSH 中的 regreSSHion 漏洞，建议采取以下措施：

• 应用 OpenSSH 服务器的最新可用更新（版本 9.8p1），该更新修复了该漏洞。

• 使用基于网络的控制（例如防火墙）限制 SSH 访问，并实施网络分段以防止横向移动。

• 如果 OpenSSH 服务器无法立即更新，请在 sshd 配置文件中将“LoginGraceTime”设置为 0，但请注意，这可能会使服务器遭受拒绝服务攻击。

Jogi 在报告中表示，CVE-2024-6387 漏洞“可能促进网络传播，使攻击者能够利用受感染的系统作为立足点，遍历和利用组织内的其他易受攻击的系统。”“此外，获得 root 访问权限将使攻击者能够绕过防火墙、入侵检测系统和日志记录机制等关键安全机制，从而进一步掩盖他们的活动。”

Qualys 已分享了regreSSHion 的技术细节（https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt），但并未分享概念验证 (PoC) 代码以防止恶意攻击。该公司提供了一些攻击指标 (IoC) 来帮助组织检测潜在攻击。

新闻链接：

https://www.securityweek.com/millions-of-openssh-servers-potentially-vulnerable-to-remote-regresshion-attack/