CVE-2024-6387: RCE in OpenSSH's server on glibc-based Linux systems

Score: 8.1 
CVSSv3.1 Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 
Severity: High 

Mô tả: 
Lỗ hổng có tên là regrSSHion ảnh hướng tới OpenSSH server trên glibc. Lỗ hổng này cho phép kẻ tấn công không cần xác thực vẫn có thể truy cập và thực thi dưới quyền root trên máy chủ mục tiêu, gây ra ảnh hưởng nghiêm trọng cho các hệ thống sử dụng OpenSSH server.

Các phiên bản bị ảnh hưởng: 

• OpenSSH < 4.4p1

• 8.5p1 <= OpenSSH < 9.8p1

Cách kiểm tra: 
Kiểm tra version ssh server trực tiếp hoặc qua telnet:  

$ telnet 172.26.17.153 22

Trying 172.26.17.153...

Connected to 172.26.17.153.

Escape character is '^]'.

SSH-2.0-OpenSSH_8.9p1 Ubuntu-3ubuntu0.6

Nếu thuộc một trong các phiên bản bị ảnh hưởng dưới đây cần thực hiện biện pháp phòng tránh:

vulnerable_versions = [

       'SSH-2.0-OpenSSH_8.5p1',

       'SSH-2.0-OpenSSH_8.6p1',

       'SSH-2.0-OpenSSH_8.7p1',

       'SSH-2.0-OpenSSH_8.8p1',

       'SSH-2.0-OpenSSH_8.9p1',

       'SSH-2.0-OpenSSH_9.0p1',

       'SSH-2.0-OpenSSH_9.1p1',

       'SSH-2.0-OpenSSH_9.2p1',

       'SSH-2.0-OpenSSH_9.3p1',

       'SSH-2.0-OpenSSH_9.4p1',

       'SSH-2.0-OpenSSH_9.5p1',

       'SSH-2.0-OpenSSH_9.6p1',

       'SSH-2.0-OpenSSH_9.7p1'

   ]

Cách phòng tránh: 

• Cập nhật lên phiên bản OpenSSH mới nhất (>= 9.8p1).

• Hạn chế quyền truy cập SSH, chỉ cho phép từ các nguồn đáng tin cậy trong mạng.

• Theo dõi nhật ký hoạt động bất thường (log authentication, bash history)

• Để khắc phục tạm thời, hãy đặt loginGraceTime thành 0 nếu không thể cập nhật bản vá.

Tham khảo: 

1. CVE-2024-6387: How to fix the regreSSHion vulnerability | Vulcan Cyber 

2. CVE-2024-6387: Critical OpenSSH Unauthenticated RCE Flaw 'regreSSHion' Exposes Millions of Linux Systems (securityonline.info) 

3. NVD - CVE-2024-6387 (nist.gov) 

4. GitHub - acrono/cve-2024-6387-poc: 32-bit PoC for CVE-2024-6387 — mirror of the original 7etsuo/cve-2024-6387-poc