OpenSSH安全网络套件的某些版本存在一个新的漏洞,该漏洞可能触发远程代码执行(RCE)。
该漏洞被跟踪为 CVE-2024-6409(CVSS 评分:7.0),与 CVE-2024-6387(又名 RegreSSHion)不同,与由于信号处理中的争用条件而导致的 privsep 子进程中的代码执行情况有关。它仅影响 Red Hat Enterprise Linux 9 附带的 8.7p1 和 8.8p1 版本。
安全研究员亚历山大·佩斯利亚克(Alexander Peslyak)的别名是太阳能设计师,他因发现和报告该漏洞而受到赞誉,该漏洞是在本月早些时候Qualys披露CVE-2024-6387后在审查CVE-2024-6387时发现的。
“与 CVE-2024-6387 的主要区别在于,竞争条件和 RCE 潜力是在 privsep 子进程中触发的,与父服务器进程相比,该进程以较低的权限运行,”Peslyak 说。
“因此,直接影响较低。但是,在特定情况下,这些漏洞的可利用性可能存在差异,这可能使其中任何一个对攻击者来说更具吸引力,如果只有一个漏洞得到修复或缓解,那么另一个漏洞就会变得更加重要。
但是,值得注意的是,信号处理程序争用条件漏洞与 CVE-2024-6387 相同,其中如果客户端未在 LoginGraceTime 秒(默认为 120 秒)内进行身份验证,则 OpenSSH 守护进程的 SIGALRM 处理程序将被异步调用,然后调用各种非异步信号安全的函数。
根据漏洞描述,“此问题使其容易受到 cleanup_exit() 函数上的信号处理程序争用条件的影响,该条件在 SSHD 服务器的非特权子项中引入了与 CVE-2024-6387 相同的漏洞。
“由于攻击成功,在最坏的情况下,攻击者可能能够在运行 sshd 服务器的非特权用户中执行远程代码执行 (RCE)。
此后,在野外检测到 CVE-2024-6387 的活跃漏洞,未知威胁行为者主要针对位于中国的服务器。
“此攻击的初始向量源自 IP 地址 108.174.58[.]28,据报道,该目录列出了用于自动利用易受攻击的SSH服务器的漏洞利用工具和脚本,“以色列网络安全公司Veriti说。
转载自安全客