数百万台 OpenSSH 服务器可能受到新披露的安全漏洞影响,该漏洞可被利用进行未经身份验证的远程代码执行。
该漏洞编号为 CVE-2024-6387,名为regreSSHion,是由网络安全公司 Qualys 的威胁研究部门发现的。它被描述为与2021 年的Log4Shell漏洞一样严重,并且非常严重。
尽管 Qualys 的研究人员尚未对该 CVE 进行评分,但他们将其描述为“关键”,存在重大安全风险。
该公司的研究人员发现,OpenSSH 服务器进程“sshd”受到信号处理程序竞争条件的影响,允许在基于 glibc 的 Linux 系统上以 root 权限执行未经身份验证的远程代码。目前尚不清楚是否可以在 Windows 和 macOS 系统上利用该漏洞。
Qualys威胁研究部门高级主管Bharat Jogi在报告中表示:“该漏洞一旦被利用,可能导致整个系统被入侵,攻击者可以以最高权限执行任意代码,从而完全接管系统、安装恶意软件、操纵数据以及创建后门以实现持续访问。”
OpenSSH 旨在在客户端-服务器架构中通过不安全的网络提供安全通道,被企业广泛用于远程服务器管理和安全数据通信。OpenSSH 是一个基于安全外壳协议的网络安全功能集合,支持多种加密技术,可确保通信、自动化流程和文件传输的安全。
据 Qualys 称,使用 Shodan 和 Censys 服务进行的搜索显示,有超过 1400 万个可能存在漏洞的 OpenSSH 实例可直接从互联网访问。Qualys 自己的客户数据显示,大约有 70 万个暴露在互联网上的系统似乎存在漏洞。
该安全公司表示,CVE-2024-6387 是之前已修补的漏洞 CVE-2006-5051 的回归。具体来说,该漏洞于 2020 年 10 月随着 OpenSSH 8.5p1 的发布而再次出现。
Qualys 指出,由于 2001 年引入的机制,OpenBSD 系统不会受到影响。
该漏洞可能存在于 macOS 和 Windows 中,但研究人员尚未确认这些系统上的可利用性,需要进行单独分析以确定这些操作系统是否存在漏洞。
该漏洞最近在 9.8p1 版本发布时被意外消除。无法立即升级的组织可以应用供应商即将发布的补丁。
为了解决或缓解 OpenSSH 中的 regreSSHion 漏洞,建议采取以下措施:
- 应用 OpenSSH 服务器的最新可用更新(版本 9.8p1),该更新修复了该漏洞。
- 使用基于网络的控制(例如防火墙)限制 SSH 访问,并实施网络分段以防止横向移动。
- 如果 OpenSSH 服务器无法立即更新,请在 sshd 配置文件中将“LoginGraceTime”设置为 0,但请注意,这可能会使服务器遭受拒绝服务攻击。
Jogi 在报告中表示,CVE-2024-6387 漏洞“可能促进网络传播,使攻击者能够利用受感染的系统作为立足点,遍历和利用组织内的其他易受攻击的系统。”“此外,获得 root 访问权限将使攻击者能够绕过防火墙、入侵检测系统和日志记录机制等关键安全机制,从而进一步掩盖他们的活动。”
Qualys 已分享了regreSSHion 的技术细节,但并未分享概念验证 (PoC) 代码以防止恶意攻击。该公司提供了一些攻击指标 (IoC) 来帮助组织检测潜在攻击。
转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/lLRF00XZJ-RA6Pr41vze4Q
暂无评论内容