CVE-2024-6387是什么?
此外,漏洞研究人员分析了根本原因,确定它与CVE-2006-5051(OpenSSH早期的RCE漏洞) 相关,这意味着该漏洞是由于代码更改而被意外重新引入。
截止本文发布时,尚未捕获到任何关于利用此漏洞的行为。
Github上已存在公开PoC,但经过微步漏洞团队复现,目前尚未确定该PoC的有效性。
该漏洞不太可能被用于远程大规模攻击。理由如下:
-
漏洞利用条件:该漏洞类型为条件竞争,由于条件竞争漏洞的特性,较难写出稳定的漏洞利用。另外,目前已知的漏洞利用需要绕过ASLR和依赖特定版本的glibc内存结构布局,这意味着攻击者必须事先知道他们针对的 Linux 发行版才能构建功能性漏洞。综上所示,该漏洞难以被规模化的利用于实际攻击中。
-
漏洞利用难度:虽然目前已有国外安全厂商成功利用该漏洞实现了远程代码执行,但想成功利用此漏洞需要大量持续的发送SSH数据包,目前已知的最少成功利用时间为6-8个小时。此漏洞利用行为类似于SSH暴力破解,这意味着任何现有的暴力破解预防和检测措施都能有效缓解这种攻击,因此在受到良好保护的环境中,该技术的成功率相当低。
通常本地请求没有网络限制,所以该漏洞后续可能出现的一种利用方式是用于本地提权。
受影响的OpenSSH 版本为:
-
<4.4.p1受影响(除非是针对 CVE-2006-5051 和 CVE-2008-4109 进行了单独修补)
-
4.4p1 ≤ version < 8.5p1不受影响
-
8.5p1 ≤ version < 9.8p1 受影响
受影响的操作系统为:
-
基于glibc的Linux发行版受影响
-
OpenBSD、Windows不受此漏洞的影响
建议受影响的用户尽快更新至9.8p1及以上版本,优先处置公开暴露的OpenSSH实例。
-
可以设置LoginGraceTime为0,这样设置能够防止RCE,但是可能会由于大量的SSH爆破请求导致服务器拒绝服务,请根据实际业务情况进行设置。
-
对尝试爆破SSH的来源IP进行封禁处理。
当前评估,攻击行为会在TDP、OneSIG命中现有SSH爆破检测。
//
微步漏洞情报订阅服务
微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营:
-
提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;
-
可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;
-
提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;
-
将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。
X漏洞奖励计划
活动详情:https://x.threatbook.com/v5/vulReward
原文始发于微信公众号(微步在线研究响应中心):关于OpenSSH RCE(CVE-2024-6387)高频关注的FAQ
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论