发现新的 OpenSSH 漏洞：潜在的远程代码执行风险

OpenSSH 安全网络套件的某些版本容易受到可触发远程代码执行 (RCE) 的新漏洞的影响。

该漏洞被标记为 CVE-2024-6409（CVSS 评分：7.0），与CVE-2024-6387 （又名 RegreSSHion）不同，它与privsep 子进程中的代码执行情况有关，原因是信号处理中的竞争条件。它仅影响 Red Hat Enterprise Linux 9 附带的 8.7p1 和 8.8p1 版本。

安全研究员亚历山大·佩斯利亚克 (Alexander Peslyak)（别名 Solar Designer）因发现并报告此漏洞而受到赞誉，该漏洞是在本月早些时候 Qualys 披露 CVE-2024-6387 后对其进行审查时发现的。

Peslyak表示：“与 CVE-2024-6387 的主要区别在于，竞争条件和 RCE 潜力是在 privsep 子进程中触发的，与父服务器进程相比，该子进程以较低的权限运行。 ”

“因此直接影响较小。然而，在特定情况下，这些漏洞的可利用性可能会有所不同，这可能会使其中任何一个对攻击者来说都是更有吸引力的选择，而且如果只有一个得到修复或缓解，那么另一个就会变得更重要。”

然而，值得注意的是，信号处理程序竞争条件漏洞与 CVE-2024-6387 相同，其中如果客户端在 LoginGraceTime 秒（默认为 120 秒）内未进行身份验证，则 OpenSSH 守护进程的 SIGALRM 处理程序将被异步调用，然后调用各种不异步信号安全的函数。

根据漏洞描述，“该问题导致其容易受到 cleanup_exit() 函数中的信号处理程序竞争条件的影响，从而导致 SSHD 服务器的非特权子进程中出现与 CVE-2024-6387 相同的漏洞。 ”

“如果攻击成功，在最坏的情况下，攻击者可能能够在运行 sshd 服务器的非特权用户中执行远程代码执行 (RCE)。 ”

此后，CVE-2024-6387 的攻击活动已被发现，一个未知的威胁行为者主要针对位于中国的服务器进行攻击。

以色列网络安全公司 Veriti表示：“此次攻击的初始载体来自 IP 地址108.174.58[.]28，据报道，该地址托管一个目录，其中列出了用于自动利用易受攻击的 SSH 服务器的漏洞利用工具和脚本。”