OpenSSH 高危误差来袭！bevictor伟德提供解决计划

宣布时间 2024-07-03

7月1日，，，OpenSSH官方更新了一个保存于OpenSSH中的远程代码执行误差（CVE-2024-6387）。。。。。该误差由于OpenSSH效劳器（sshd）中的信号处置惩罚程序竞争问题，，，未经身份验证的攻击者可以使用此误差在Linux系统上以root身份执行恣意代码。。。。。CVSS现在评分8.1分，，，请受影响的用户尽快接纳步伐举行防护。。。。。

图片1.png

现在该误差POC（看法验证代码）已果真，，，随时保存被网络黑产使用举行挖矿木马和僵尸网络等攻击行为的危害。。。。。该误差的综合评级为“高危”。。。。。

误差成因

CVE-2024-6387是OpenSSH效劳中的一个严重误差，，，影响基于glibc的Linux系统。。。。。攻击者可以使用该误差在无需认证的情形下，，，通过竞态条件远程执行恣意代码。。。。。

若是客户端未在LoginGraceTime 秒内（默认情形下为120秒，，，旧版OpenSSH中为600秒）举行身份验证，，，则sshd的SIGALRM处置惩罚程序将被异程序用，，，但该信号处置惩罚程序会挪用种种非async-signal-safe的函数（例如syslog()），，，威胁者可使用该误差在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。。。。。

修复建议

1、升级补丁

现在该误差已经修复，，，受影响用户可升级到OpenSSH 9.8p1 以上版本。。。。。下载链接：

https://www.openssh.com/releasenotes.html

bevictor伟德解决计划

建议一：bevictor伟德天镜懦弱性扫描与治理系统升级最新版本

1、漏扫6075版本

bevictor伟德天镜懦弱性扫描与治理系统6075版本已紧迫宣布针对该误差的升级包，，，支持对该误差举行非授权扫描，，，用户升级标准误差库后即可对该误差举行扫描。。。。。6070版本升级包为607000573，，，升级包下载地点：https://venustech.download.venuscloud.cn/

图片2.jpg

升级后已支持该误差

2、漏扫608X系列版本

bevictor伟德天镜懦弱性扫描与治理系统608X系列版本已紧迫宣布针对该误差的升级包，，，支持对该误差举行非授权扫描，，，用户升级标准误差库后即可对该误差举行扫描：

608X系列版本升级包为主机插件包6080000126-S6080000127.svs漏扫插件包下载地点：

https://venustech.download.venuscloud.cn/

图片3.jpg

升级后已支持该误差

3、漏扫基线核查

通过bevictor伟德天镜懦弱性扫描与治理系统-设置核查模浚块对该误差影响的 openssh-server 软件包版本举行获取，，，使用智能化剖析研判机制验证该误差是否保存，，，若是保存该误差建议更新到清静版本。。。。。如图所示：

图片4.jpg

基线核查已支持该误差检查能力

请使用bevictor伟德天镜懦弱性扫描与治理系统产品的用户尽快升级到最新版本，，，实时对该误差举行检测，，，以便尽快接纳提防步伐。。。。。

建议二：bevictor伟德资产与懦弱性治理平台(ASM)排查受影响资产

bevictor伟德资产与懦弱性治理平台实时收罗并更新情报信息，，，对入库资产误差OpenSSH 远程代码执行误差（CVE-2024-6387）举行治理，，，如图所示：

图片5.jpg

情报治理模浚块已入库的OpenSSH 远程代码执行误差

资产与懦弱性治理平台凭证情报信息更新的误差受影响实体规则以及现场资产治理实例的版本信息举行自动化碰撞，，，可第一时间掷中受该误差影响的资产，，，如图所示：

图片6.jpg

情报掷中的资产信息

建议三：基于清静治理和态势感知平台举行关联剖析

宽大用户可以通过泰合清静治理和态势感知平台，，，举行关联战略设置，，，连系现真相形中系统日志和清静装备的告警信息举行一连监控，，，从而发明“OpenSSH远程代码执行”的误差使用攻击行为。。。。。

1）在泰合的平台中，，，通过懦弱性发明功效针对“OpenSSH远程代码执行误差（CVE-2024-6387）”误差扫描使命，，，排查治理网络中受此误差影响的主要资产；；

图片7.jpg

2）平台“关联剖析”模浚块中，，，添加“L2_OpenSSH远程代码执行误差使用”，，，通过bevictor伟德检测装备、目的主机系统等装备的告警日志，，，发明外部攻击行为；；

图片8.jpg

通太过析规则自动将L2_OpenSSH远程代码执行误差使用的可疑行为源地点添加到视察列表“高危害毗连”中，，，作为内部情报数据使用；；

3）添加“L3_OpenSSH远程代码执行误差使用乐成”，，，条件日志名称即是或包括“L2_OpenSSH远程代码执行误差使用”，，，攻击效果即是“攻击乐成”，，，目的地点引用资产误差或源地点匹配威胁情报，，，从而提升关联规则的置信度。。。。。

图片9.jpg

建议四：ATT&CK攻击链条剖析与SOAR处置惩罚建议

1、ATT&CK攻击链剖析

凭证对CVE-2024-6387误差的攻击使用历程举行剖析，，，攻击链涉及多个ATT&CK战术和手艺阶段，，，笼罩的TTP包括：

TA0001初始会见： T1190使用面向公众的应用程序

TA0002执行： T1059下令和剧本诠释器

TA0004权限提升： T1548滥用提权控制机制

2、处置惩罚计划建媾和SOAR剧本编排

图片10.jpg

通过泰合清静治理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置惩罚能力，，，针对该误差使用的告警事务编排剧本，，，举行自动化处置惩罚

关于北冥数据实验室

北冥数据实验室恪守以用户需求为中心、知识赋能产品为目的的焦点理念，，，专注于深入研究和开发网络空间清静的基础知识。。。。。通过整合威胁和误差情报、网络空间资产以及云清静监测数据，，，制订周全的清静剖析防护战略，，，以知足用户现实场景的需求。。。。。同时，，，致力于构建自动化视察和处置惩罚响应步伐，，，形成场景化、结构化的知识工程系统，，，为种种清静产品、平台和清静运营提供强盛的知识赋能。。。。。

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

bevictor伟德

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系bevictor伟德

清静研究