首頁 > 安全研究 > 安全通報 > 安全事件響應

OpenSSH 高危漏洞來襲!啟明星辰提供解決方案

發布時間 2024-07-03

7月1日,OpenSSH官方更新了一個存在于OpenSSH中的遠程代碼執行漏洞(CVE-2024-6387)。該漏洞由于OpenSSH服務器(sshd)中的信號處理程序競爭問題,未經身份驗證的攻擊者可以利用此漏洞在Linux系統上以root身份執行任意代碼。CVSS目前評分8.1分,請受影響的用戶盡快采取措施進行防護。


圖片1.png


目前該漏洞POC(概念驗證代碼)已公開,隨時存在被網絡黑產利用進行挖礦木馬和僵尸網絡等攻擊行為的風險。該漏洞的綜合評級為“高?!?。


漏洞成因


CVE-2024-6387是OpenSSH服務中的一個嚴重漏洞,影響基于glibc的Linux系統。攻擊者可以利用該漏洞在無需認證的情況下,通過競態條件遠程執行任意代碼。


如果客戶端未在LoginGraceTime 秒內(默認情況下為120秒,舊版OpenSSH中為600秒)進行身份驗證,則sshd的SIGALRM處理程序將被異步調用,但該信號處理程序會調用各種非async-signal-safe的函數(例如syslog()),威脅者可利用該漏洞在基于glibc的Linux系統上以root身份實現未經身份驗證的遠程代碼執行。


修復建議


1、升級補丁

目前該漏洞已經修復,受影響用戶可升級到OpenSSH 9.8p1 以上版本。下載鏈接:

https://www.openssh.com/releasenotes.html


啟明星辰解決方案


建議一:啟明星辰天鏡脆弱性掃描與管理系統升級最新版本


1、漏掃6075版本


啟明星辰天鏡脆弱性掃描與管理系統6075版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行非授權掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描。6070版本升級包為607000573,升級包下載地址:https://venustech.download.venuscloud.cn/


圖片2.jpg

升級后已支持該漏洞


2、漏掃608X系列版本


啟明星辰天鏡脆弱性掃描與管理系統608X系列版本已緊急發布針對該漏洞的升級包,支持對該漏洞進行非授權掃描,用戶升級標準漏洞庫后即可對該漏洞進行掃描:


608X系列版本升級包為主機插件包6080000126-S6080000127.svs漏掃插件包下載地址:

https://venustech.download.venuscloud.cn/


圖片3.jpg

升級后已支持該漏洞


3、漏掃基線核查


通過啟明星辰天鏡脆弱性掃描與管理系統-配置核查模塊對該漏洞影響的 openssh-server 軟件包版本進行獲取,使用智能化分析研判機制驗證該漏洞是否存在,如果存在該漏洞建議更新到安全版本。如圖所示:


圖片4.jpg

基線核查已支持該漏洞檢查能力


請使用啟明星辰天鏡脆弱性掃描與管理系統產品的用戶盡快升級到最新版本,及時對該漏洞進行檢測,以便盡快采取防范措施。


建議二:啟明星辰資產與脆弱性管理平臺(ASM)排查受影響資產


啟明星辰資產與脆弱性管理平臺實時采集并更新情報信息,對入庫資產漏洞OpenSSH 遠程代碼執行漏洞(CVE-2024-6387)進行管理,如圖所示:


圖片5.jpg

情報管理模塊已入庫的OpenSSH 遠程代碼執行漏洞


資產與脆弱性管理平臺根據情報信息更新的漏洞受影響實體規則以及現場資產管理實例的版本信息進行自動化碰撞,可第一時間命中受該漏洞影響的資產,如圖所示:


圖片6.jpg

情報命中的資產信息


建議三:基于安全管理和態勢感知平臺進行關聯分析


廣大用戶可以通過泰合安全管理和態勢感知平臺,進行關聯策略配置,結合實際環境中系統日志和安全設備的告警信息進行持續監控,從而發現“OpenSSH遠程代碼執行”的漏洞利用攻擊行為。


1)在泰合的平臺中,通過脆弱性發現功能針對“OpenSSH遠程代碼執行漏洞(CVE-2024-6387)”漏洞掃描任務,排查管理網絡中受此漏洞影響的重要資產;


圖片7.jpg


2)平臺“關聯分析”模塊中,添加“L2_OpenSSH遠程代碼執行漏洞利用”,通過啟明星辰檢測設備、目標主機系統等設備的告警日志,發現外部攻擊行為;


圖片8.jpg


通過分析規則自動將L2_OpenSSH遠程代碼執行漏洞利用的可疑行為源地址添加到觀察列表“高風險連接”中,作為內部情報數據使用;


3)添加“L3_OpenSSH遠程代碼執行漏洞利用成功”,條件日志名稱等于或包含“L2_OpenSSH遠程代碼執行漏洞利用”,攻擊結果等于“攻擊成功”,目的地址引用資產漏洞或源地址匹配威脅情報,從而提升關聯規則的置信度。


圖片9.jpg


建議四:ATT&CK攻擊鏈條分析與SOAR處置建議


1、ATT&CK攻擊鏈分析


根據對CVE-2024-6387漏洞的攻擊利用過程進行分析,攻擊鏈涉及多個ATT&CK戰術和技術階段,覆蓋的TTP包括:

TA0001初始訪問:  T1190利用面向公眾的應用程序

TA0002執行:        T1059命令和腳本解釋器

TA0004權限提升:  T1548濫用提權控制機制


2、 處置方案建議和SOAR劇本編排


圖片10.jpg


通過泰合安全管理和態勢感知平臺內置SOAR自動化或半自動化編排聯動響應處置能力,針對該漏洞利用的告警事件編排劇本,進行自動化處置



關于北冥數據實驗室


北冥數據實驗室恪守以用戶需求為中心、知識賦能產品為目標的核心理念,專注于深入研究和開發網絡空間安全的基礎知識。通過整合威脅和漏洞情報、網絡空間資產以及云安全監測數據,制定全面的安全分析防護策略,以滿足用戶實際場景的需求。同時,致力于構建自動化調查和處置響應措施,形成場景化、結構化的知識工程體系,為各類安全產品、平臺和安全運營提供強大的知識賦能。

上一篇 下一篇