CVE-2024-6387,也称为 回归分析是基于 glibc 的 Linux 系统上 OpenSSH 服务器组件 (sshd) 的一个严重安全漏洞。此漏洞允许 未经身份验证的远程代码执行 (RCE) 具有 root 权限,对受影响的系统构成重大风险。
在本文中,我们将解释称为 regreSSHion (CVE-2024-6387) 的 OpenSSH 漏洞,详细说明您需要立即采取的步骤,列出受影响的版本,并指导您如何检查您的系统是否存在漏洞。
什么是 CVE-2024-6387 (regreSSHion)?
回归 (CVE-2024-6387) 是一种漏洞,攻击者无需进行身份验证即可在目标系统上执行任意代码。 regreSSHion 这个名称突显了该漏洞的性质,它是 OpenSSH 中的回归错误。这意味着攻击者可以获得系统的完全 root 访问权限,从而可能导致系统完全被攻陷、数据被盗以及持续的未经授权的访问。
- 漏洞类型:OpenSSH 服务器(sshd)中的信号处理程序竞争条件。
- 受影响的系统:基于glibc的Linux系统。
- 影响:以 root 权限执行未经身份验证的远程代码。
- 默认配置:该漏洞影响OpenSSH的默认配置,不需要用户交互。
这 Qualys 威胁研究部门 (TRU) 发现此漏洞是早期漏洞的回归, CVE-2006-5051,该漏洞之前已得到修补。此次回归是由于 2020 年 10 月 OpenSSH 版本 8.5p1 发布时所做的更改或更新而发生的,无意中重新引入了该问题。这使得 regreSSHion 成为近二十年来 OpenSSH 中第一个重大的未经身份验证的 RCE 漏洞。
开发
- 机制:如果客户端在 120 秒内未进行身份验证(由 登录宽限时间 设置)、sshd 的 SIGALRM 处理程序 以非异步信号安全的方式异步调用。
- 要求:在实验室条件下,攻击需要 6-8 小时的连续连接才能成功,特别是在具有地址空间布局随机化 (ASLR) 的 32 位 Linux/glibc 系统上。
受 OpenSSH 漏洞影响的版本
- 4.4p1 之前的版本:除非修补 CVE-2006-5051 和 CVE-2008-4109,否则容易受到攻击。
- 从 4.4p1 到 8.5p1 的版本:由于之前已发布补丁,因此不再存在漏洞。
- 从 8.5p1 到 9.7p1 的版本:由于意外删除关键安全组件而存在漏洞。
你现在需要做什么?
为了减轻与 regreSSHion (CVE-2024-6387) 相关的风险,用户应:
- 应用最新补丁:确保 OpenSSH 已更新至解决漏洞的最新版本。
- 限制 SSH 访问:使用基于网络的控制来限制 SSH 访问。
- 实施网络分段:实施分段以限制网络内的未经授权的访问和横向移动。
OpenSSH 版本检查
如何检查 OpenSSH 版本?有两种主要方法可以检查您的 OpenSSH 版本:
- 使用
ssh -V命令: 这是最简单、最常见的方法。ssh大写字母命令V标志将显示系统上安装的 OpenSSH 客户端的版本信息。它适用于安装了 OpenSSH 的 Linux、macOS 甚至 Windows。 - 检查远程服务器版本(如果适用): 如果你想知道远程机器上运行的 OpenSSH 服务器的版本,你可以使用
ssh使用命令-v标志(小写 v)以详细模式连接。这将显示各种连接详细信息,包括远程 OpenSSH 服务器的版本。
CVE-2024-6387 (regreSSHion) 具有重大威胁,因为它能够授予具有 root 权限的未经身份验证的远程代码执行。此类漏洞的再次出现凸显了严格的回归测试和及时应用安全补丁的重要性。通过采取主动措施,组织可以保护其系统免受此漏洞的严重影响。
