数百万 OpenSSH 服务器可能遭受远程 regreSSHion 攻击(CVE-2024-6387)

数百万台 OpenSSH 服务器可能受到新披露的安全漏洞影响,该漏洞可被利用进行未经身份验证的远程代码执行。

该漏洞编号为 CVE-2024-6387,名为regreSSHion,是由网络安全公司 Qualys 的威胁研究部门发现的。它被描述为与2021 年的Log4Shell漏洞一样严重,并且非常严重。

尽管 Qualys 的研究人员尚未对该 CVE 进行评分,但他们将其描述为“关键”,存在重大安全风险。

该公司的研究人员发现,OpenSSH 服务器进程“sshd”受到信号处理程序竞争条件的影响,允许在基于 glibc 的 Linux 系统上以 root 权限执行未经身份验证的远程代码。目前尚不清楚是否可以在 Windows 和 macOS 系统上利用该漏洞。

Qualys威胁研究部门高级主管Bharat Jogi在报告中表示:“该漏洞一旦被利用,可能导致整个系统被入侵,攻击者可以以最高权限执行任意代码,从而完全接管系统、安装恶意软件、操纵数据以及创建后门以实现持续访问。”

OpenSSH 旨在在客户端-服务器架构中通过不安全的网络提供安全通道,被企业广泛用于远程服务器管理和安全数据通信。OpenSSH 是一个基于安全外壳协议的网络安全功能集合,支持多种加密技术,可确保通信、自动化流程和文件传输的安全。

据 Qualys 称,使用 Shodan 和 Censys 服务进行的搜索显示,有超过 1400 万个可能存在漏洞的 OpenSSH 实例可直接从互联网访问。Qualys 自己的客户数据显示,大约有 70 万个暴露在互联网上的系统似乎存在漏洞。

该安全公司表示,CVE-2024-6387 是之前已修补的漏洞 CVE-2006-5051 的回归。具体来说,该漏洞于 2020 年 10 月随着 OpenSSH 8.5p1 的发布而再次出现。

Qualys 指出,由于 2001 年引入的机制,OpenBSD 系统不会受到影响。

该漏洞可能存在于 macOS 和 Windows 中,但研究人员尚未确认这些系统上的可利用性,需要进行单独分析以确定这些操作系统是否存在漏洞。

该漏洞最近在 9.8p1 版本发布时被意外消除。无法立即升级的组织可以应用供应商即将发布的补丁。

为了解决或缓解 OpenSSH 中的 regreSSHion 漏洞,建议采取以下措施:

  1. 应用 OpenSSH 服务器的最新可用更新(版本 9.8p1),该更新修复了该漏洞。
  2. 使用基于网络的控制(例如防火墙)限制 SSH 访问,并实施网络分段以防止横向移动。
  3. 如果 OpenSSH 服务器无法立即更新,请在 sshd 配置文件中将“LoginGraceTime”设置为 0,但请注意,这可能会使服务器遭受拒绝服务攻击。

Jogi 在报告中表示,CVE-2024-6387 漏洞“可能促进网络传播,使攻击者能够利用受感染的系统作为立足点,遍历和利用组织内的其他易受攻击的系统。”“此外,获得 root 访问权限将使攻击者能够绕过防火墙、入侵检测系统和日志记录机制等关键安全机制,从而进一步掩盖他们的活动。”

Qualys 已分享了regreSSHion 的技术细节,但并未分享概念验证 (PoC) 代码以防止恶意攻击。该公司提供了一些攻击指标 (IoC) 来帮助组织检测潜在攻击。


转自会杀毒的单反狗,原文链接:https://mp.weixin.qq.com/s/lLRF00XZJ-RA6Pr41vze4Q

© 版权声明
THE END
你的支持是我们在网空安全路上的驱动力!
点赞5 分享
评论 抢沙发
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情代码

    暂无评论内容