OpenSSH 高危缝隙来袭！！！OG东方厅提供解决规划

颁布功夫 2024-07-03

7月1日，，OpenSSH官方更新了一个存在于OpenSSH中的远程代码执行缝隙（CVE-2024-6387）。。。该缝隙由于OpenSSH服务器（sshd）中的信号处置法式竞争问题，，未经身份验证的攻击者能够利用此缝隙在Linux系统上以root身份执行肆意代码。。。CVSS目前评分8.1分，，请受影响的用户尽快采取措施进行防护。。。

图片1.png

目前该缝隙POC（概念验证代码）已公开，，随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。。。该缝隙的综合评级为“高�！！！薄�。。

缝隙成因

CVE-2024-6387是OpenSSH服务中的一个严重缝隙，，影响基于glibc的Linux系统。。。攻击者能够利用该缝隙在无需认证的情况下，，通过竞态前提远程执行肆意代码。。。

若是客户端未在LoginGraceTime 秒内（默认情况下为120秒，，旧版OpenSSH中为600秒）进行身份验证，，则sshd的SIGALRM处置法式将被异步挪用，，但该信号处置法式会挪用各类非async-signal-safe的函数（例如syslog()），，威胁者可利用该缝隙在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。。。

修复建议

1、、升级补丁

目前该缝隙已经修复，，受影响用户可升级到OpenSSH 9.8p1 以上版本。。。下载链接：：：

https://www.openssh.com/releasenotes.html

OG东方厅解决规划

建议一：：：OG东方厅天镜脆弱性扫描与治理系统升级最新版本

1、、漏扫6075版本

OG东方厅天镜脆弱性扫描与治理系统6075版本已垂危颁布针对该缝隙的升级包，，支持对该缝隙进行非授权扫描，，用户升级尺度缝隙库后即可对该缝隙进行扫描。。。6070版本升级包为607000573，，升级包下载地址：：：https://venustech.download.venuscloud.cn/

图片2.jpg

升级后已支持该缝隙

2、、漏扫608X系列版本

OG东方厅天镜脆弱性扫描与治理系统608X系列版本已垂危颁布针对该缝隙的升级包，，支持对该缝隙进行非授权扫描，，用户升级尺度缝隙库后即可对该缝隙进行扫描：：：

608X系列版本升级包为主机插件包6080000126-S6080000127.svs漏扫插件包下载地址：：：

https://venustech.download.venuscloud.cn/

图片3.jpg

升级后已支持该缝隙

3、、漏扫基线核查

通过OG东方厅天镜脆弱性扫描与治理系统-配置核查�？？？槎愿梅煜队跋斓� openssh-server 软件包版本进行获取，，使用智能化分析研判机制验证该缝隙是否存在，，若是存在该缝隙建议更新到安全版本。。。如图所示：：：

图片4.jpg

基线核查已支持该缝隙查抄能力

请使用OG东方厅天镜脆弱性扫描与治理系统产品的用户尽快升级到最新版本，，实时对该缝隙进行检测，，以便尽快采取防备措施。。。

建议二：：：OG东方厅资产与脆弱性治理平台(ASM)排查受影响资产

OG东方厅资产与脆弱性治理平台实时采集并更新谍报信息，，对入库资产缝隙OpenSSH 远程代码执行缝隙（CVE-2024-6387）进行治理，，如图所示：：：

图片5.jpg

谍报治理�？？？橐讶肟獾腛penSSH 远程代码执行缝隙

资产与脆弱性治理平台凭据谍报信息更新的缝隙受影响实体规定以及现场资产治理实例的版本信息进行自动化碰撞，，可第一功夫射中受该缝隙影响的资产，，如图所示：：：

图片6.jpg

谍报射中的资产信息

建议三：：：基于安全治理和态势感知平台进行关联分析

宽大用户能够通过泰合安全治理和态势感知平台，，进行关联战术配置，，结合现实环境中系统日志和安全设备的告警信息进行持续监控，，从而发现“OpenSSH远程代码执行”的缝隙利用攻击行为。。。

1）在泰合的平台中，，通过脆弱性发现职能针对“OpenSSH远程代码执行缝隙（CVE-2024-6387）”缝隙扫描工作，，排查治理网络中受此缝隙影响的重要资产；；；

图片7.jpg

2）平台“关联分析”�？？？橹�，，增长“L2_OpenSSH远程代码执行缝隙利用”，，通过OG东方厅检测设备、、指标主机系统等设备的告警日志，，发现外部攻击行为；；；

图片8.jpg

通过度析规定自动将L2_OpenSSH远程代码执行缝隙利用的可疑行为源地址增长到观察列表“高风险衔接”中，，作为内部谍报数据使用；；；

3）增长“L3_OpenSSH远程代码执行缝隙利用成功”，，前提日志名称等于或蕴含“L2_OpenSSH远程代码执行缝隙利用”，，攻击了局等于“攻击成功”，，主张地址引用资产缝隙或源地址匹配威胁谍报，，从而提升关联规定的相信度。。。

图片9.jpg

建议四：：：ATT&CK攻击链条分析与SOAR措置建议

1、、ATT&CK攻击链分析

凭据对CVE-2024-6387缝隙的攻击利用过程进行分析，，攻击链涉及多个ATT&CK战术和技术阶段，，覆盖的TTP蕴含：：：

TA0001初始接见：：： T1190利用面向公家的利用法式

TA0002执行：：： T1059号令和剧本诠释器

TA0004权限提升：：： T1548滥用提权节制机制

2、、措置规划建议和SOAR剧本编排

图片10.jpg

通过泰合安全治理和态势感知平台内置SOAR自动化或半自动化编排联动响应措置能力，，针对该缝隙利用的告警事务编排剧本，，进行自动化措置

关于北冥数据尝试室

北冥数据尝试室遵守以用户需要为中心、、知识赋能产品为指标的主题理念，，专一于深刻钻研和开发网络空间安全的基础知识。。。通过整合威胁和缝隙谍报、、网络空间资产以及云安全监测数据，，制订全面的安全分析防护战术，，以满足用户现实场景的需要。。。同时，，致力于构建自动化调查和措置响应措施，，形成场景化、、结构化的知识工程系统，，为各类安全产品、、平台和安全运营提供壮大的知识赋能。。。

7*24小时服务热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

司法申明

OG东方厅

网络安全防护

网络安全检测

利用安全

数据安全

安全治理

云安全

工控安全

移动及终端安全

密码利用安全

大模型利用安全

专业安全服务

安全运营中心

知白学院

威胁谍报中心

安全传递

钻研汇报

安全团队

渠道系统

售后服务

升级布告

软件升级

公司概况

新闻动态

技术专题

人才招聘

投资者关系

资源中心

联系OG东方厅

安全钻研