以 root 身份运行的 RCE 使 1400 万个 Linux 实例面临风险

OpenSSH最近存在一个名为CVE-2024-6387的严重漏洞，可能允许在基于 glibc 的 Linux 系统上以root权限执行未经身份验证的远程代码。

此缺陷存在于 OpenSSH 服务器组件 (sshd) 中，是由于信号处理程序中的竞争条件造成的。

该漏洞于 2020 年 10 月在 OpenSSH 版本 8.5p1 中重新引入，部分解决了 18 年之久的问题 ( CVE-2006-5051 )。

漏洞详情

该漏洞影响 8.5p1 和 9.7p1 之间的 OpenSSH 版本。

它允许攻击者以提升的权限执行任意代码，从而导致系统完全受损。

这个问题尤其重要，因为互联网上暴露了大约 1400 万个可能存在漏洞的 OpenSSH 服务器实例。

深入了解 CVE-2024-6387

漏洞 CVE-2024-6387 是 OpenSSH 信号处理程序中的竞争条件，存在于版本 8.5p1-9.7p1 中。

当进程或线程的并发执行导致意外结果时，就会出现竞争条件，在这种情况下，攻击者无需身份验证即可使用 root 权限执行任意代码。

该问题于 2020 年引入，并重新暴露了 2006 年的旧缺陷 (CVE-2006-5051)。

技术分析

竞争条件利用 OpenSSH 处理进程信号的方式，允许攻击者操纵代码执行。

OpenSSH 开发人员一直致力于开发补丁来解决此问题，并发布了重要更新。

系统管理员应立即应用这些更新以保护其系统。

已知的利用方法

攻击者可以使用特定的有效负载或操纵进程信号中竞争条件的漏洞来利用 CVE-2024-6387。

此类方法可能包括：

权限提升有效负载：攻击者可以发送操纵信号来以 root 权限执行代码。

自动化脚本：漏洞可以包含在自动化脚本中，一旦触发竞争条件，这些脚本就会执行恶意命令。

渗透测试工具：Metasploit 等工具可以合并特定模块来利用此漏洞，从而方便经验不足的黑客进行攻击。

安全影响

由于 OpenSSH 的广泛部署和影响的严重性，该漏洞特别令人关注，它可能导致受影响的系统完全受到损害。

暴露在互联网上的服务器尤其面临风险，安全社区被要求仔细监控任何正在传播的漏洞。

数据来自Shodan

根据使用 Shodan 门户进行的研究，目前互联网上有 6,689 台主机暴露了端口 22 和 OpenSSH_9.7p1 的易受攻击版本。

这些主机的分布情况如下：

美国：1,625

德国：1,097

法国：441

俄罗斯：440

荷兰：311

中国：241

英国：235

芬兰：165

香港：137

日本：136

加拿大：135

瑞典：126

新加坡：112

澳大利亚：107

巴西：100

瑞士：98

匈牙利：98

波兰：95

意大利：85

印度：75

西班牙：66

罗马尼亚：65

可能的影响

对于开放 SSH 端口并向外界公开的系统来说，安全隐患非常重大：

系统妥协：攻击者可以获得 root 访问权限，从而允许他们执行任何命令、安装恶意软件，甚至删除数据。

僵尸网络和DDoS攻击：受感染的系统可用于构建僵尸网络并发起分布式拒绝服务 (DDoS) 攻击。

数据盗窃：攻击者可以访问和窃取敏感数据，包括凭证、财务信息和个人数据。

持续威胁：一旦受到威胁，系统就可以用作进一步攻击的持续入口点，无论是在网络内部还是对其他网络。

保护建议

软件更新：确保更新到可用的最新版本的 OpenSSH。

访问限制：实施防火墙规则以限制对服务器的未经授权的访问。

持续监控：使用入侵检测系统 (IDS) 监控可疑活动。

安全检查：定期进行安全检查和渗透测试，以识别和缓解任何漏洞。

该漏洞的发现凸显了开源软件安全性的至关重要性以及持续警惕和维护的必要性。

此类事件表明旧漏洞可能会再次出现，需要开发人员和系统管理员持续关注。

原文始发于微信公众号（网络研究观）：以 root 身份运行的 RCE 使 1400 万个 Linux 实例面临风险