关于OpenSSH RCE（CVE-2024-6387）高频关注的FAQ

CVE-2024-6387是什么？

此漏洞为OpenSSH服务(sshd) 中的条件竞争漏洞，影响其默认配置。如果 SSH 客户端在规定时间（LoginGraceTime默认为 120 秒）内无法进行身份验证，sshd服务将会异步调用 SIGALRM处理程序。在基于 glibc 的 Linux 发行版中，某些情况下 SIGALRM处理程序会调用syslog方法中不安全的内存处理相关函数，从而导致堆溢出，实现远程代码执行。

此外，漏洞研究人员分析了根本原因，确定它与CVE-2006-5051（OpenSSH早期的RCE漏洞） 相关，这意味着该漏洞是由于代码更改而被意外重新引入。

该漏洞是否发现在野利用？

截止本文发布时，尚未捕获到任何关于利用此漏洞的行为。

Github上已存在公开PoC，但经过微步漏洞团队复现，目前尚未确定该PoC的有效性。

该漏洞在实战中被利用的可能性有多大？

该漏洞不太可能被用于远程大规模攻击。理由如下：

• 漏洞利用条件：该漏洞类型为条件竞争，由于条件竞争漏洞的特性，较难写出稳定的漏洞利用。另外，目前已知的漏洞利用需要绕过ASLR和依赖特定版本的glibc内存结构布局，这意味着攻击者必须事先知道他们针对的 Linux 发行版才能构建功能性漏洞。综上所示，该漏洞难以被规模化的利用于实际攻击中。 

• 漏洞利用难度：虽然目前已有国外安全厂商成功利用该漏洞实现了远程代码执行，但想成功利用此漏洞需要大量持续的发送SSH数据包，目前已知的最少成功利用时间为6-8个小时。此漏洞利用行为类似于SSH暴力破解，这意味着任何现有的暴力破解预防和检测措施都能有效缓解这种攻击，因此在受到良好保护的环境中，该技术的成功率相当低。 

通常本地请求没有网络限制，所以该漏洞后续可能出现的一种利用方式是用于本地提权。

如何判断是否受该漏洞影响？

此漏洞会影响最新补丁（< 9.8p1）之前的 OpenSSH 。如果您的系统使用 OpenSSH 进行远程管理，并将OpenSSH 公开暴露在互联网上，则可能存在风险。

受影响的OpenSSH 版本为：

• <4.4.p1受影响（除非是针对 CVE-2006-5051 和 CVE-2008-4109 进行了单独修补）

• 4.4p1 ≤ version < 8.5p1不受影响

• 8.5p1 ≤ version < 9.8p1 受影响

受影响的操作系统为：

• 基于glibc的Linux发行版受影响

• OpenBSD、Windows不受此漏洞的影响

安全团队应该采取哪些行动？

虽然该漏洞尚未验证能够稳定利用，但由于该漏洞危害的严重性（RCE）以及OpenSSH的广泛使用，该漏洞的风险仍然很高。

建议受影响的用户尽快更新至9.8p1及以上版本，优先处置公开暴露的OpenSSH实例。

官网下载地址：https://www.openssh.com/releasenotes.html

如果短期内无法升级OpenSSH：

• 可以设置LoginGraceTime为0，这样设置能够防止RCE，但是可能会由于大量的SSH爆破请求导致服务器拒绝服务，请根据实际业务情况进行设置。

• 对尝试爆破SSH的来源IP进行封禁处理。

微步在线产品侧支持情况

当前评估，攻击行为会在TDP、OneSIG命中现有SSH爆破检测。

- END -

  //  

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：

• 提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；

• 可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；

• 提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；

• 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓↓↓

点此电话咨询

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款针对未公开漏洞的奖励计划，我们鼓励白帽子提交挖掘到的0day漏洞，并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力，提升0day防御能力，守护数字世界安全。

活动详情：https://x.threatbook.com/v5/vulReward

原文始发于微信公众号（微步在线研究响应中心）：关于OpenSSH RCE（CVE-2024-6387）高频关注的FAQ