发现新的 OpenSSH 漏洞:潜在的远程代码执行风险

2024-07-10 14:34:05 0 366

发现新的 OpenSSH 漏洞:潜在的远程代码执行风险



OpenSSH 安全网络套件的某些版本容易受到可触发远程代码执行 (RCE) 的新漏洞的影响。

该漏洞被标记为 CVE-2024-6409(CVSS 评分:7.0),与CVE-2024-6387 (又名 RegreSSHion)不同,它与privsep 子进程中的代码执行情况有关,原因是信号处理中的竞争条件。它仅影响 Red Hat Enterprise Linux 9 附带的 8.7p1 和 8.8p1 版本。

安全研究员亚历山大·佩斯利亚克 (Alexander Peslyak)(别名 Solar Designer)因发现并报告此漏洞而受到赞誉,该漏洞是在本月早些时候 Qualys 披露 CVE-2024-6387 后对其进行审查时发现的。

Peslyak表示:“与 CVE-2024-6387 的主要区别在于,竞争条件和 RCE 潜力是在 privsep 子进程中触发的,与父服务器进程相比,该子进程以较低的权限运行。 ”

“因此直接影响较小。然而,在特定情况下,这些漏洞的可利用性可能会有所不同,这可能会使其中任何一个对攻击者来说都是更有吸引力的选择,而且如果只有一个得到修复或缓解,那么另一个就会变得更重要。”

然而,值得注意的是,信号处理程序竞争条件漏洞与 CVE-2024-6387 相同,其中如果客户端在 LoginGraceTime 秒(默认为 120 秒)内未进行身份验证,则 OpenSSH 守护进程的 SIGALRM 处理程序将被异步调用,然后调用各种不异步信号安全的函数。

根据漏洞描述,“该问题导致其容易受到 cleanup_exit() 函数中的信号处理程序竞争条件的影响,从而导致 SSHD 服务器的非特权子进程中出现与 CVE-2024-6387 相同的漏洞。 ”

“如果攻击成功,在最坏的情况下,攻击者可能能够在运行 sshd 服务器的非特权用户中执行远程代码执行 (RCE)。 ”

此后,CVE-2024-6387 的攻击活动已被发现,一个未知的威胁行为者主要针对位于中国的服务器进行攻击。

以色列网络安全公司 Veriti表示:“此次攻击的初始载体来自 IP 地址108.174.58[.]28,据报道,该地址托管一个目录,其中列出了用于自动利用易受攻击的 SSH 服务器的漏洞利用工具和脚本。”

关于作者

maojila49篇文章213篇回复

评论0次

要评论?请先  登录  或  注册