OpenSSH 高危漏洞来袭！启明星辰提供解决方案

　　7月1日，OpenSSH官方更新了一个存在于OpenSSH中的远程代码执行漏洞（CVE-2024-6387）。该漏洞由于OpenSSH服务器（sshd）中的信号处理程序竞争问题，未经身份验证的攻击者可以利用此漏洞在Linux系统上以root身份执行任意代码。CVSS目前评分8.1分，请受影响的用户尽快采取措施进行防护。

　　目前该漏洞POC（概念验证代码）已公开，随时存在被网络黑产利用进行挖矿木马和僵尸网络等攻击行为的风险。该漏洞的综合评级为“高危”。

　　漏洞成因

　　CVE-2024-6387是OpenSSH服务中的一个严重漏洞，影响基于glibc的Linux系统。攻击者可以利用该漏洞在无需认证的情况下，通过竞态条件远程执行任意代码。

　　如果客户端未在LoginGraceTime 秒内（默认情况下为120秒，旧版OpenSSH中为600秒）进行身份验证，则sshd的SIGALRM处理程序将被异步调用，但该信号处理程序会调用各种非async-signal-safe的函数（例如syslog()），威胁者可利用该漏洞在基于glibc的Linux系统上以root身份实现未经身份验证的远程代码执行。

　　修复建议

　　1、升级补丁

　　目前该漏洞已经修复，受影响用户可升级到OpenSSH 9.8p1 以上版本。下载链接：

　　https://www.openssh.com/releasenotes.html

　　启明星辰解决方案

　　建议一：启明星辰天镜脆弱性扫描与管理系统升级最新版本

　　1、漏扫6075版本

　　启明星辰天镜脆弱性扫描与管理系统6075版本已紧急发布针对该漏洞的升级包，支持对该漏洞进行非授权扫描，用户升级标准漏洞库后即可对该漏洞进行扫描。6070版本升级包为607000573，升级包下载地址：

　　https://venustech.download.venuscloud.cn/

　　

　　升级后已支持该漏洞

　　2、漏扫608X系列版本

　　启明星辰天镜脆弱性扫描与管理系统608X系列版本已紧急发布针对该漏洞的升级包，支持对该漏洞进行非授权扫描，用户升级标准漏洞库后即可对该漏洞进行扫描：

　　608X系列版本升级包为主机插件包6080000126-S6080000127.svs漏扫插件包下载地址：

　　https://venustech.download.venuscloud.cn/

　　

　　升级后已支持该漏洞

　　3、漏扫基线核查

　　通过启明星辰天镜脆弱性扫描与管理系统-配置核查模块对该漏洞影响的 openssh-server 软件包版本进行获取，使用智能化分析研判机制验证该漏洞是否存在，如果存在该漏洞建议更新到安全版本。如图所示：

　　

　　基线核查已支持该漏洞检查能力

　　请使用启明星辰天镜脆弱性扫描与管理系统产品的用户尽快升级到最新版本，及时对该漏洞进行检测，以便尽快采取防范措施。

　　建议二：启明星辰资产与脆弱性管理平台(ASM)排查受影响资产

　　启明星辰资产与脆弱性管理平台实时采集并更新情报信息，对入库资产漏洞OpenSSH 远程代码执行漏洞（CVE-2024-6387）进行管理，如图所示：

　　情报管理模块已入库的OpenSSH 远程代码执行漏洞

　　资产与脆弱性管理平台根据情报信息更新的漏洞受影响实体规则以及现场资产管理实例的版本信息进行自动化碰撞，可第一时间命中受该漏洞影响的资产，如图所示：

　　情报命中的资产信息

　　建议三：基于安全管理和态势感知平台进行关联分析

　　广大用户可以通过泰合安全管理和态势感知平台，进行关联策略配置，结合实际环境中系统日志和安全设备的告警信息进行持续监控，从而发现“OpenSSH远程代码执行”的漏洞利用攻击行为。

　　1）在泰合的平台中，通过脆弱性发现功能针对“OpenSSH远程代码执行漏洞（CVE-2024-6387）”漏洞扫描任务，排查管理网络中受此漏洞影响的重要资产；

　　

　　2）平台“关联分析”模块中，添加“L2_OpenSSH远程代码执行漏洞利用”，通过启明星辰检测设备、目标主机系统等设备的告警日志，发现外部攻击行为；

　　通过分析规则自动将L2_OpenSSH远程代码执行漏洞利用的可疑行为源地址添加到观察列表“高风险连接”中，作为内部情报数据使用；

　　3）添加“L3_OpenSSH远程代码执行漏洞利用成功”，条件日志名称等于或包含“L2_OpenSSH远程代码执行漏洞利用”，攻击结果等于“攻击成功”，目的地址引用资产漏洞或源地址匹配威胁情报，从而提升关联规则的置信度。

　　建议四：ATT CK攻击链条分析与SOAR处置建议

　　1、ATT CK攻击链分析

　　根据对CVE-2024-6387漏洞的攻击利用过程进行分析，攻击链涉及多个ATT CK战术和技术阶段，覆盖的TTP包括：

　　TA0001初始访问： T1190利用面向公众的应用程序

　　TA0002执行：

　　T1059命令和脚本解释器

　　TA0004权限提升： T1548滥用提权控制机制

　　2、处置方案建议和SOAR剧本编排

　　

　　通过泰合安全管理和态势感知平台内置SOAR自动化或半自动化编排联动响应处置能力，针对该漏洞利用的告警事件编排剧本，进行自动化处置