OpenSSH 服务器出现未认证远程代码执行漏洞

关键要点

在基于 glibc 的 Linux 系统的 OpenSSH 服务器中发现了一种严重的未认证远程代码执行RCE漏洞。攻击者可利用此漏洞进行系统完全控制，无需用户交互。超过 700000 个互联网暴露的 OpenSSH 实例可能受到影响。该漏洞是 CVE20065051 的回归，强调了回归测试的重要性。

最近在 OpenSSH 服务器中发现了一种未认证的远程代码执行 (RCE) 漏洞，此漏洞存在于基于 glibc 的 Linux 系统中。如果被利用，可能会导致系统完全被攻陷，无需用户任何干预。这一漏洞被标记为 CVE20246387，其潜在后果非常严重，攻击者能够以最高权限执行任意代码，可能造成完整系统控制、恶意软件的安装、数据操作，以及允许攻击者创建后门以获得持久访问。

根据 Qualys 威胁研究部门的报告，他们通过 Censys 和 Shodan 的搜索发现，互联网上暴露的 OpenSSH 服务器实例超过 1400 万个。他们还发现，来自 Qualys 客户的匿名数据表明，大约有 70 万个外部互联网暴露的实例是脆弱的，占 Qualys 全球客户基础中所有互联网暴露的 OpenSSH 实例的 31。

在安全分析中，Qualys 研究人员指出，此漏洞是 CVE20065051 的回归漏洞，CVE20065051 是在 2006 年首次报告的漏洞，因此他们称之为 regreSSHion。回归漏洞是指在修复缺陷后，随后在软件发布中再次出现此缺陷，通常是由于更新或调整不小心重新引入了问题。此次回归漏洞最早是在 2020 年 10 月由于代码更改而引入的。研究人员还指出，这一事件突显了彻底回归测试在防止已知漏洞重现环境中的关键作用。

Qualys 的漏洞研究产品经理 Saeed Abbasi 解释道：“这个漏洞是近二十年来 OpenSSH 中首个未认证 RCE 漏洞，允许攻击者在不经过身份验证的情况下获得受影响系统的完全 root 访问权限。令人担忧的是，这影响了 OpenSSH 的默认配置，并且不需要用户交互。OpenSSH 作为一种安全通信方式的普遍性显著扩大了这一漏洞的潜在影响。”

Critical Start 的威胁研究高级经理 Callie Guenther 也表示，由于该漏洞能够授予未认证的远程代码执行能力，可能导致完全的系统妥协、恶意软件安装和网络传播。

极光加速器节点

Guenther 还提到，虽然 Qualys 在完整报告中概述了减轻措施，但她建议安全团队考虑以下措施：

措施建议补丁管理立即为 OpenSSH 应用补丁，并确保持续更新流程。增强访问控制通过基于网络的控制限制 SSH 访问。网络分段与入侵检测隔离网络并部署监测系统，以检测利用尝试。临时缓解措施如果团队无法立即应用补丁，请将 LoginGraceTime 配置为 0 以防止利用，尽管这使系统可能面临拒绝服务的风险。

对于广大用户和组织来说，及时更新和修补 OpenSSH 是亟待采取的重要步骤，以防止潜在的攻击和损失。