從CVE-2024-6387 OpenSSH Server 漏洞談?wù)勂髽I(yè)安全運(yùn)營(yíng)與應(yīng)急響應(yīng)

在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)安全已成為企業(yè)運(yùn)營(yíng)中不可忽視的重要一環(huán)。隨著技術(shù)的不斷發(fā)展，黑客攻擊手段也在不斷升級(jí)，其中0day漏洞的利用更是讓企業(yè)防不勝防。0day漏洞是指在廠(chǎng)商尚未發(fā)布補(bǔ)丁修復(fù)的情況下，黑客已經(jīng)發(fā)現(xiàn)并利用的安全漏洞。這類(lèi)漏洞的危害極大，往往會(huì)給企業(yè)帶來(lái)嚴(yán)重的安全威脅和經(jīng)濟(jì)損失。

近日，OpenSSH曝出了一起嚴(yán)重的0day漏洞，引起了全球范圍內(nèi)的廣泛關(guān)注。OpenSSH作為一種廣泛使用的遠(yuǎn)程登錄工具，其安全性直接關(guān)系到大量服務(wù)器和網(wǎng)絡(luò)設(shè)備的安全。因此，這一漏洞的出現(xiàn)，不僅讓各大企業(yè)紛紛加強(qiáng)自身的安全防護(hù)，也讓我們?cè)俅我庾R(shí)到企業(yè)應(yīng)急響應(yīng)機(jī)制的重要性。

在本文中，我們將以此次CVE-2024-6387 OpenSSH Server 遠(yuǎn)程代碼執(zhí)行漏洞為例，深入探討企業(yè)在面對(duì)0day漏洞時(shí)，應(yīng)如何迅速、有效地進(jìn)行應(yīng)急響應(yīng)。通過(guò)京東云安全運(yùn)營(yíng)服務(wù)方案和0day漏洞應(yīng)急方案的介紹，我們希望能夠?yàn)槠渌髽I(yè)提供一些有價(jià)值的參考和借鑒，幫助大家共同提升網(wǎng)絡(luò)安全防護(hù)能力。

一、CVE-2024-6387 OpenSSH Server 漏洞概述

OpenSSH（Open Secure Shell）是一種用于加密網(wǎng)絡(luò)通信的工具，廣泛應(yīng)用于服務(wù)器管理、遠(yuǎn)程登錄等場(chǎng)景。其安全性和可靠性使其成為各大企業(yè)和組織的首選工具之一。然而，正是由于其廣泛的應(yīng)用范圍，一旦出現(xiàn)漏洞，影響面將極為廣泛。此次披露的漏洞允許攻擊者通過(guò)未認(rèn)證的OpenSSH實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行，此漏洞可在基于glibc 的 Linux 系統(tǒng)上遠(yuǎn)程利用，其中 syslog() 本身會(huì)調(diào)用異步信號(hào)不安全函數(shù)，并以 root 身份執(zhí)行未經(jīng)身份驗(yàn)證的遠(yuǎn)程代碼，但OpenBSD不易受影響（因OpenBSD與2001年發(fā)明了syslog()的異步信號(hào)，使其更加安全）。其影響范圍因CVE-2006-5051 補(bǔ)丁中加入了sigdie()的#ifdef DO_LOG_SAFE_IN_SIGHAND將不安全函數(shù)轉(zhuǎn)為安全的_exit()調(diào)用，使得4.4p1（包含）至 8.5p1（不包含）之間版本不受影響，而8.5p1(包含）版本開(kāi)始拿掉了#ifdef DO_LOG_SAFE_IN_SIGHAND被sigdie()移除，而導(dǎo)致自8.5p1(包含)開(kāi)始至9.8p1(包含）版本均受此漏洞影響。

二、CVE-2024-6387 OpenSSH Server 應(yīng)急響應(yīng)的重要性

面對(duì)如此嚴(yán)重的安全威脅，企業(yè)如何迅速、有效地進(jìn)行應(yīng)急響應(yīng)，避免被攻擊者利用，成為了一個(gè)亟待解決的問(wèn)題。盡管經(jīng)過(guò)深入跟進(jìn)該漏洞發(fā)現(xiàn)，該漏洞自身利用難度較大，攻擊者需要經(jīng)過(guò)多次嘗試,并繞過(guò)系統(tǒng)保護(hù)自身保護(hù)機(jī)制（如ASLR），在特定版本下也需要6-8小時(shí)才可獲取到RootShell，但仍存在被利用成功的可能，且在高強(qiáng)度對(duì)抗的實(shí)網(wǎng)對(duì)抗場(chǎng)景下，此漏洞的出現(xiàn)，引發(fā)了全球范圍內(nèi)的高度關(guān)注和緊急應(yīng)對(duì)。

應(yīng)急響應(yīng)是企業(yè)安全運(yùn)營(yíng)的核心環(huán)節(jié)，其重要性不僅體現(xiàn)在事件發(fā)生后的快速修復(fù)和損失控制，更在于預(yù)防和及時(shí)檢測(cè)潛在威脅，確保業(yè)務(wù)連續(xù)性和數(shù)據(jù)安全。一個(gè)高效的應(yīng)急響應(yīng)機(jī)制能夠迅速動(dòng)員多跨部門(mén)/團(tuán)隊(duì)，通過(guò)完善的溝通和協(xié)調(diào)，快速制定和實(shí)施應(yīng)對(duì)策略，從而將安全事件的影響降至最低。此外，持續(xù)的培訓(xùn)和紅藍(lán)對(duì)抗演練也能夠提升應(yīng)急響應(yīng)團(tuán)隊(duì)的應(yīng)對(duì)能力，而事后分析和技術(shù)更新則不斷優(yōu)化應(yīng)急響應(yīng)流程，增強(qiáng)企業(yè)整體的安全防御能力。透明的外部溝通和積極的社會(huì)責(zé)任實(shí)踐，不僅提升了客戶(hù)和市場(chǎng)的信任度，也增強(qiáng)了企業(yè)的市場(chǎng)競(jìng)爭(zhēng)力和聲譽(yù)。因此，應(yīng)急響應(yīng)不僅是安全事件的補(bǔ)救措施，更是企業(yè)長(zhǎng)期安全戰(zhàn)略的重要組成部分，確保企業(yè)在面對(duì)各種安全威脅時(shí)，能夠從容應(yīng)對(duì)、快速恢復(fù)，保持業(yè)務(wù)的穩(wěn)定和持續(xù)發(fā)展。

三、京東云安全運(yùn)營(yíng)最佳實(shí)踐

京東云日常面臨多種網(wǎng)絡(luò)威脅，我們始終并持續(xù)高度重視網(wǎng)絡(luò)安全，并建立了一套完善的安全運(yùn)營(yíng)服務(wù)方案，協(xié)助企業(yè)解決日常應(yīng)急響應(yīng)等問(wèn)題。該方案包括但不限于以下方面：

1、內(nèi)外部攻擊面管理

京東云通過(guò)部署自研的主機(jī)安全、安全運(yùn)營(yíng)中心、網(wǎng)絡(luò)入侵檢測(cè)、威脅掃描等產(chǎn)品除了實(shí)現(xiàn)在日常的安全防護(hù)外，還通過(guò)產(chǎn)品自身采集的安全數(shù)據(jù)（如服務(wù)器版本、軟件包版本、Web中間件版本、Web應(yīng)用依賴(lài)版本等信息）進(jìn)行深度運(yùn)營(yíng)，并實(shí)現(xiàn)內(nèi)部攻擊面測(cè)繪，同時(shí)由京東安全攻防專(zhuān)家以攻擊視角進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，借助外部攻擊面管理平臺(tái)以發(fā)現(xiàn)可能不常被關(guān)注到的攻擊面信息（包括但不限于影子資產(chǎn)、小程序、APP、接口文檔、大數(shù)據(jù)平臺(tái)等等）。如下圖所示，當(dāng)高危服務(wù)或0day漏洞被披露時(shí)，第一時(shí)間實(shí)現(xiàn)風(fēng)險(xiǎn)的定位。

攻擊面概覽圖

通過(guò)攻擊面管理平臺(tái)快速排查企業(yè)內(nèi)外網(wǎng)OpenSSH漏洞影響范圍

2、精準(zhǔn)化漏洞情報(bào)

傳統(tǒng)漏洞情報(bào)推送服務(wù)所推的漏洞往往過(guò)于注重大而全，針對(duì)性較差，導(dǎo)致企業(yè)處理漏洞效率極低。京東科技結(jié)合通過(guò)對(duì)接國(guó)內(nèi)外多源主流漏洞情報(bào)網(wǎng)站，并結(jié)合內(nèi)外部攻擊面管理平臺(tái)的測(cè)繪數(shù)據(jù)，通過(guò)安全劇本編排響應(yīng)系統(tǒng)（SOAR）定制化推送相關(guān)聯(lián)的漏洞情報(bào)（如此次OpenSsh漏洞，影響特定范圍的版本），以更準(zhǔn)確、更快速的消除企業(yè)安全威脅，解決其0 Day或N day 漏洞的困擾。

3、0day漏洞風(fēng)險(xiǎn)處置閉環(huán)跟蹤

通過(guò)京東云自研的安全工單系統(tǒng)，實(shí)現(xiàn)對(duì)應(yīng)急場(chǎng)景下的0day漏洞風(fēng)險(xiǎn)治理、日常安全運(yùn)營(yíng)中的風(fēng)險(xiǎn)、漏洞等等實(shí)現(xiàn)完整閉環(huán)。

安全事件工單系統(tǒng)

四、京東云安全托管服務(wù)（MSS）

隨著演習(xí)將至，企業(yè)不僅要面臨常態(tài)化的外部網(wǎng)絡(luò)攻擊，同時(shí)也將面對(duì)專(zhuān)業(yè)攻擊隊(duì)伍高強(qiáng)度攻擊下的網(wǎng)絡(luò)安全挑戰(zhàn)。為了更好地應(yīng)對(duì)這些挑戰(zhàn)，我們結(jié)合自身甲方安全建設(shè)與安全運(yùn)營(yíng)經(jīng)驗(yàn)并總結(jié)，輸出面向外部的專(zhuān)業(yè)安全托管服務(wù)（MSS）以面對(duì)客戶(hù)日常及重保期間的安全需求。如下圖所示，通過(guò)SAAS化+私有化探針部署的模式采集安全數(shù)據(jù)，經(jīng)由云端或私有化安全運(yùn)營(yíng)中心實(shí)現(xiàn)告警的聚合、AI等多種能力實(shí)現(xiàn)綜合分析。

除內(nèi)外部攻擊面管理服務(wù)、精準(zhǔn)化漏洞情報(bào)服務(wù)、安全工單系統(tǒng)以外，還包括但不限于：

1、多年實(shí)戰(zhàn)運(yùn)營(yíng)積累的優(yōu)質(zhì)SOAR劇本

結(jié)合京東云安全運(yùn)營(yíng)中心中積累多年的SOAR劇本，實(shí)現(xiàn)跨設(shè)備告警聚合并結(jié)合自身威脅情報(bào)數(shù)據(jù)對(duì)高危攻擊IP實(shí)現(xiàn)自動(dòng)封禁，同時(shí)對(duì)高危安全事件實(shí)現(xiàn)告警推送，外連阻斷等等場(chǎng)景。

SOAR劇本

2、跨云平臺(tái)、跨不同廠(chǎng)商安全設(shè)備的統(tǒng)一接管

通過(guò)對(duì)接市場(chǎng)主流安全產(chǎn)品能力和功能，目前完成20+主流廠(chǎng)商安全產(chǎn)品告警對(duì)接處置，實(shí)現(xiàn)第三方安全產(chǎn)品的告警接入與智能分析。

五、關(guān)于京東云安全

京東云安全不僅專(zhuān)注于京東云內(nèi)部安全體系的構(gòu)建與優(yōu)化，還憑借京東在電商、物流、金融等多個(gè)領(lǐng)域的深厚安全實(shí)踐經(jīng)驗(yàn)，對(duì)外提供全面的安全能力輸出，助力企業(yè)數(shù)字化轉(zhuǎn)型過(guò)程中的安全保障，目前已服務(wù)并保障數(shù)百個(gè)安全客戶(hù)。通過(guò)自主研發(fā)主機(jī)安全、Web應(yīng)用防火墻、安全運(yùn)營(yíng)中心等網(wǎng)絡(luò)安全產(chǎn)品，根據(jù)企業(yè)特定需求，提供個(gè)性化的安全咨詢(xún)、規(guī)劃、實(shí)施及運(yùn)維服務(wù)，并由安全服務(wù)組及交付人員共同完成安全服務(wù)、安全項(xiàng)目交付。

參考鏈接：

https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

https://github.com/zgzhang/cve-2024-6387-poc

https://stackdiary.com/openssh-race-condition-in-sshd-allows-remote-code-execution/

審核編輯 黃宇