关于OpenSSH RCE（CVE-2024-6387）高频关注的FAQ

CVE-2024-6387是什么？

此外，漏洞研究人员分析了根本原因，确定它与CVE-2006-5051（OpenSSH早期的RCE漏洞） 相关，这意味着该漏洞是由于代码更改而被意外重新引入。

截止本文发布时，尚未捕获到任何关于利用此漏洞的行为。

Github上已存在公开PoC，但经过微步漏洞团队复现，目前尚未确定该PoC的有效性。

该漏洞 不太可能被用于远程大规模攻击 。理由如下：

• 漏洞利用条件 ： 该漏洞类型为条件竞争，由于条件竞争漏洞的特性，较难写出稳定的漏洞利用。 另外，目前已知的漏洞利用需要绕过ASLR和依赖特定版本的glibc内存结构布局，这意味着攻击者必须事先知道他们针对的 Linux 发行版才能构建功能性漏洞。 综上所示，该漏洞难以被规模化的利用于实际攻击中。

• 漏洞利用难度 ： 虽然目前已有国外安全厂商成功利用该漏洞实现了远程代码执行， 但想成功利用此漏洞需要大量持续的发送SSH数据包，目前已知的最少成功利用时间为6-8个小时 。此漏洞利用行为 类似于SSH暴力破解 ，这意味着任何现有的暴力破解预防和检测措施都能有效缓解这种攻击，因此在受到良好保护的环境中，该技术的成功率相当低。

通常本地请求没有网络限制，所以该漏洞后续可能出现的一种利用方式是用于本地提权。

受影响的OpenSSH 版本为：

• <4.4.p1受影响（除非是针对 CVE-2006-5051 和 CVE-2008-4109 进行了单独修补）

• 4.4p1 ≤ version < 8.5p1不受影响

• 8.5p1 ≤ version < 9.8p1 受影响

受影响的操作系统为：

• 基于glibc的Linux发行版受影响

• OpenBSD、Windows不受此漏洞的影响

建议受影响的用户尽快更新至9.8p1及以上版本，优先处置公开暴露的OpenSSH实例 。

• 可以设置LoginGraceTime为0，这样设置能够防止RCE，但是可能会由于大量的SSH爆破请求导致服务器拒绝服务，请根据实际业务情况进行设置。

• 对尝试爆破SSH的来源IP进行封禁处理。

当前评估，攻击行为会在TDP、OneSIG命中现有SSH爆破检测。