OpenSSH 维护团队最近发布了一项关键安全更新,以修复一个严重的安全漏洞。该漏洞可能导致基于 glibc 的 Linux 系统中以 root 权限执行未经身份验证的远程代码执行(RCE)。这个漏洞被追踪为 CVE-2024-6387,位于 OpenSSH 服务器组件(也称为 sshd)中,它负责监听来自任何客户端应用程序的连接。
Qualys 威胁研究部门高级主管 Bharat Jogi 在今天发布的一份披露文件中详细介绍了这一漏洞。他指出:“该漏洞是 OpenSSH 服务器 (sshd) 中的信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE) 。该竞争条件会影响默认配置下的 sshd。”
漏洞影响与历史背景
据网络安全公司表示,已有超过 1400 万个暴露在互联网上的潜在易受攻击的 OpenSSH 服务器实例。令人惊讶的是,这个漏洞实际上是一个已修补的 18 年前漏洞(CVE-2006-5051)的回归。该问题于 2020 年 10 月作为 OpenSSH 版本 8.5p1 的一部分重新出现,并一直存在至 9.7p1 版本。
OpenSSH 在其公告中提到:“已证明在具有地址空间布局随机化(ASLR)的 32 位 Linux/glibc 系统上可成功利用该漏洞。在实验室条件下,攻击平均需要 6-8 小时的连续连接,直至达到服务器可接受的最大连接时长。”
影响范围与安全建议
该漏洞影响从 8.5p1 到 9.7p1 之间的版本。4.4p1 之前的版本也容易受到竞争条件漏洞的影响,除非它们针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。值得注意的是,OpenBSD 系统不受影响,因为它们包含阻止该漏洞的安全机制。
Qualys 发现,如果客户端在 120 秒内未进行身份验证(由 LoginGraceTime 设置定义),则 sshd 的 SIGALRM 处理程序将以非异步信号安全的方式异步调用。利用 CVE-2024-6387 的最终结果是完全系统入侵和接管,使威胁行为者能够以最高权限执行任意代码、破坏安全机制、窃取数据,甚至保持持续访问。
回归测试的重要性
Bharat Jogi 强调了彻底回归测试在防止已知漏洞再次引入环境中的重要性。他指出:“漏洞一旦修复,又会在后续软件版本中再次出现,这通常是由于更改或更新无意中再次引入了该问题。这起事件凸显了彻底的回归测试在防止已知漏洞再次引入环境中的关键作用。”
安全建议与防护措施
虽然 CVE-2024-6387 漏洞由于其远程竞争条件性质而存在重大障碍,但建议用户立即应用最新补丁以防范潜在威胁。此外,建议通过以下措施进一步加强安全防护:
- 基于网络的控制:限制 SSH 访问。
- 网络分段:限制未经授权的访问和横向移动。
总结
此次 OpenSSH 漏洞的曝光再次提醒我们,网络安全威胁无处不在,且日益复杂。通过及时更新安全补丁、实施严格的网络控制和分段措施,以及进行彻底的回归测试,可以有效防范类似的安全漏洞。作为系统管理员和安全专业人士,务必要保持警惕,定期审查并强化系统安全配置,确保我们的系统免受此类威胁的侵害。
4o
