网站搜索

超过 14M 的服务器可能容易受到 OpenSSH 的 regreSSHion RCE 缺陷的影响。这是你需要做的


OpenSSH 是安全 Linux 网络访问的基石,但存在严重的安全缺陷。

伙计们,请保管好您的 SSH 密钥!一个严重的漏洞刚刚震撼了 Linux 安全远程访问基础 OpenSSH,让经验丰富的系统管理员惊出了一身冷汗。

这个令人讨厌的错误被称为“regreSSHion”并被标记为 CVE-2024-6387,允许在基于 glibc 的 Linux 系统上运行的 OpenSSH 服务器上进行未经身份验证的远程代码执行 (RCE)。我们在这里讨论的不是一些次要的特权升级——这个缺陷让完全的 root 访问权限变得轻而易举。

对于那些接触过 Linux 区块几次的人来说,这感觉就像是似曾相识。该漏洞是 CVE-2006-5051 的回归,这是 2006 年修补的错误。这个老对手以某种方式在 2020 年 10 月通过 OpenSSH 8.5p1 潜入了代码。

值得庆幸的是,Qualys 威胁研究小组在 OpenSSH 的秘密中发现了这个数字骨架。不幸的是,此漏洞影响默认配置,并且不需要任何用户交互即可利用。换句话说,这是一个让安全专业人员彻夜难眠的漏洞。

很难夸大这个缺陷的潜在影响。 OpenSSH 是类 Unix 系统(包括 Linux 和 macOS)中安全远程访问和文件传输的事实标准。它是全球系统管理员和开发人员安全通信的瑞士军刀。

好消息是并非所有 Linux 发行版都有易受攻击的代码。早于 4.4p1 的旧 OpenSSH 版本很容易受到此信号处理程序竞争条件的影响,除非针对 CVE-2006-5051 和 CVE-2008-4109 进行了修补。  

从 4.4p1 到(但不包括)8.5p1 的版本不易受到攻击。坏消息是,由于意外删除了关键组件,该漏洞在 OpenSSH 8.5p1 到(但不包括)9.8p1 中重新出现。

Qualys 发现了超过 1400 万个可能存在漏洞的 OpenSSH 服务器互联网实例。该公司认为,这些面向外部互联网的实例中大约有 700,000 个肯定容易受到攻击。

补丁 OpenSSH 9.8/9.8p1 现已推出。许多(但不是全部)Linux 发行版都提供了它。如果你能得到它,请尽快安装。

如果您由于某种原因无法安装补丁,请考虑通过在 sshd 配置文件(默认情况下,该文件为 /etc/ssh/sshd_config)中将 LoginGraceTime 设置为 0 来保护自己免受 regreSSHion 漏洞的影响。这个设置并不是一个完美的解决方案;它可以防止漏洞利用,但会使您的系统遭受潜在的拒绝服务 (DoS) 攻击。

因此,请确保使用基于网络的控制来限制对服务器的 SSH 访问,以限制潜在的攻击媒介。由于此类攻击需要付出大量努力,因此您应该配置防火墙和网络监控工具来检测并阻止利用此漏洞所需的大量连接。

最后,请留意 OpenSSH 补丁。他们很快就会出来。当它们可用时,请尽快应用补丁。

通过实施这些措施,您可以显着减少 regreSSHion 安全漏洞的风险 - 您会很高兴您这样做了。