OpenSSH 高危漏洞来袭！东森平台提供解决方案

宣布时间 2024-07-03

7月1日，OpenSSH官方更新了一个存在于OpenSSH中的远程代码执行漏洞（CVE-2024-6387）。该漏洞由于OpenSSH服务器（sshd）中的信号处置法式竞争问题，未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。CVSS目前评分8.1分，请受影响的用户尽快接纳措施进行防护。

图片1.png

目前该漏洞POC（看法验证代码）已果然，随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。该漏洞的综合评级为“高危”。

漏洞成因

CVE-2024-6387是OpenSSH服务中的一个严重漏洞，影响基于glibc的Linux系统。攻击者可以利用该漏洞在无需认证的情况下，通过竞态条件远程执行任意代码。

如果客户端未在LoginGraceTime 秒内（默认情况下为120秒，旧版OpenSSH中为600秒）进行身份验证，则sshd的SIGALRM处置法式将被异法式用，但该信号处置法式会调用种种非async-signal-safe的函数（例如syslog()），威胁者可利用该漏洞在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。

修复建议

1、升级补丁

目前该漏洞已经修复，受影响用户可升级到OpenSSH 9.8p1 以上版本。下载链接：

https://www.openssh.com/releasenotes.html

东森平台解决方案

建议一：东森平台天镜脆弱性扫描与管理系统升级最新版本

1、漏扫6075版本

东森平台天镜脆弱性扫描与管理系统6075版本已紧急宣布针对该漏洞的升级包，支持对该漏洞进行非授权扫描，用户升级尺度漏洞库后即可对该漏洞进行扫描。6070版本升级包为607000573，升级包下载地址：https://venustech.download.venuscloud.cn/

图片2.jpg

升级后已支持该漏洞

2、漏扫608X系列版本

东森平台天镜脆弱性扫描与管理系统608X系列版本已紧急宣布针对该漏洞的升级包，支持对该漏洞进行非授权扫描，用户升级尺度漏洞库后即可对该漏洞进行扫描：

608X系列版本升级包为主机插件包6080000126-S6080000127.svs漏扫插件包下载地址：

https://venustech.download.venuscloud.cn/

图片3.jpg

升级后已支持该漏洞

3、漏扫基线核查

通过东森平台天镜脆弱性扫描与管理系统-配置核查�？槎愿寐┒从跋斓� openssh-server 软件包版本进行获取，使用智能化分析研判机制验证该漏洞是否存在，如果存在该漏洞建议更新到宁静版本。如图所示：

图片4.jpg

基线核查已支持该漏洞检查能力

请使用东森平台天镜脆弱性扫描与管理系统产物的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快接纳防范措施。

建议二：东森平台资产与脆弱性管理平台(ASM)排查受影响资产

东森平台资产与脆弱性管理平台实时收罗并更新情报信息，对入库资产漏洞OpenSSH 远程代码执行漏洞（CVE-2024-6387）进行管理，如图所示：

图片5.jpg

情报管理�？橐讶肟獾腛penSSH 远程代码执行漏洞

资产与脆弱性管理平台凭据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞，可第一时间命中受该漏洞影响的资产，如图所示：

图片6.jpg

情报命中的资产信息

建议三：基于宁静管理和态势感知平台进行关联分析

广大用户可以通过泰合宁静管理和态势感知平台，进行关联计谋配置，结合实际环境中系统日志和宁静设备的告警信息进行连续监控，从而发现“OpenSSH远程代码执行”的漏洞利用攻击行为。

1）在泰合的平台中，通过脆弱性发现功效针对“OpenSSH远程代码执行漏洞（CVE-2024-6387）”漏洞扫描任务，排查管理网络中受此漏洞影响的重要资产；

图片7.jpg

2）平台“关联分析”�？橹�，添加“L2_OpenSSH远程代码执行漏洞利用”，通过东森平台检测设备、目标主机系统等设备的告警日志，发现外部攻击行为；

图片8.jpg

通过分析规则自动将L2_OpenSSH远程代码执行漏洞利用的可疑行为源地址添加到视察列表“高风险连接”中，作为内部情报数据使用；

3）添加“L3_OpenSSH远程代码执行漏洞利用乐成”，条件日志名称即是或包罗“L2_OpenSSH远程代码执行漏洞利用”，攻击结果即是“攻击乐成”，目的地址引用资产漏洞或源地址匹配威胁情报，从而提升关联规则的置信度。

图片9.jpg

建议四：ATT&CK攻击链条分析与SOAR处置建议

1、ATT&CK攻击链分析

凭据对CVE-2024-6387漏洞的攻击利用过程进行分析，攻击链涉及多个ATT&CK战术和技术阶段，笼罩的TTP包罗：

TA0001初始访问： T1190利用面向公众的应用法式

TA0002执行： T1059命令和脚本解释器

TA0004权限提升： T1548滥用提权控制机制

2、处置方案建议和SOAR剧本编排

图片10.jpg

通过泰合宁静管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力，针对该漏洞利用的告警事件编排剧本，进行自动化处置

关于北冥数据实验室

北冥数据实验室恪守以用户需求为中心、知识赋能产物为目标的核心理念，专注于深入研究和开发网络空间宁静的基础知识。通过整合威胁和漏洞情报、网络空间资产以及云宁静监测数据，制定全面的宁静分析防护计谋，以满足用户实际场景的需求。同时，致力于构建自动化视察和处置响应措施，形成场景化、结构化的知识工程体系，为种种宁静产物、平台和宁静运营提供强大的知识赋能。

7*24小时服务热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

东森平台

网络宁静防护

网络宁静检测

应用宁静

数据宁静

宁静管理

云宁静

工控宁静

移动及终端宁静

密码应用宁静

专业宁静服务

宁静运营中心

知白学院

威胁情报中心

宁静通报

研究陈诉

宁静团队

渠道体系

售后服务

升级通告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系东森平台

宁静研究