写点什么

从 CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应

  • 2024-07-10
    北京
  • 本文字数:2700 字

    阅读完需:约 9 分钟

在当今数字化时代,网络安全已成为企业运营中不可忽视的重要一环。随着技术的不断发展,黑客攻击手段也在不断升级,其中 0day 漏洞的利用更是让企业防不胜防。0day 漏洞是指在厂商尚未发布补丁修复的情况下,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给企业带来严重的安全威胁和经济损失。

近日,OpenSSH 曝出了一起严重的 0day 漏洞,引起了全球范围内的广泛关注。OpenSSH 作为一种广泛使用的远程登录工具,其安全性直接关系到大量服务器和网络设备的安全。因此,这一漏洞的出现,不仅让各大企业纷纷加强自身的安全防护,也让我们再次意识到企业应急响应机制的重要性。

在本文中,我们将以此次 CVE-2024-6387 OpenSSH Server 远程代码执行漏洞为例,深入探讨企业在面对 0day 漏洞时,应如何迅速、有效地进行应急响应。通过京东云安全运营服务方案和 0day 漏洞应急方案的介绍,我们希望能够为其他企业提供一些有价值的参考和借鉴,帮助大家共同提升网络安全防护能力。

一、CVE-2024-6387 OpenSSH Server 漏洞概述

OpenSSH(Open Secure Shell)是一种用于加密网络通信的工具,广泛应用于服务器管理、远程登录等场景。其安全性和可靠性使其成为各大企业和组织的首选工具之一。然而,正是由于其广泛的应用范围,一旦出现漏洞,影响面将极为广泛。此次披露的漏洞允许攻击者通过未认证的 OpenSSH 实现远程代码执行,此漏洞可在基于 glibc 的 Linux 系统上远程利用,其中 syslog() 本身会调用异步信号不安全函数,并以 root 身份执行未经身份验证的远程代码,但 OpenBSD 不易受影响(因 OpenBSD 与 2001 年发明了 syslog()的异步信号,使其更加安全)。其影响范围因 CVE-2006-5051 补丁中加入了 sigdie()的 #ifdef DO_LOG_SAFE_IN_SIGHAND 将不安全函数转为安全的_exit()调用,使得 4.4p1(包含)至 8.5p1(不包含)之间版本不受影响,而 8.5p1(包含)版本开始拿掉了 #ifdef DO_LOG_SAFE_IN_SIGHAND 被 sigdie()移除,而导致自 8.5p1(包含)开始至 9.8p1(包含)版本均受此漏洞影响

二、CVE-2024-6387 OpenSSH Server 应急响应的重要性

面对如此严重的安全威胁,企业如何迅速、有效地进行应急响应,避免被攻击者利用,成为了一个亟待解决的问题。尽管经过深入跟进该漏洞发现,该漏洞自身利用难度较大,攻击者需要经过多次尝试,并绕过系统保护自身保护机制(如 ASLR),在特定版本下也需要 6-8 小时才可获取到 RootShell,但仍存在被利用成功的可能,且在高强度对抗的实网对抗场景下,此漏洞的出现,引发了全球范围内的高度关注和紧急应对。

应急响应是企业安全运营的核心环节,其重要性不仅体现在事件发生后的快速修复和损失控制,更在于预防和及时检测潜在威胁,确保业务连续性和数据安全。一个高效的应急响应机制能够迅速动员多跨部门/团队,通过完善的沟通和协调,快速制定和实施应对策略,从而将安全事件的影响降至最低。此外,持续的培训和红蓝对抗演练也能够提升应急响应团队的应对能力,而事后分析和技术更新则不断优化应急响应流程,增强企业整体的安全防御能力。透明的外部沟通和积极的社会责任实践,不仅提升了客户和市场的信任度,也增强了企业的市场竞争力和声誉。因此,应急响应不仅是安全事件的补救措施,更是企业长期安全战略的重要组成部分,确保企业在面对各种安全威胁时,能够从容应对、快速恢复,保持业务的稳定和持续发展。

三、京东云安全运营最佳实践

京东云日常面临多种网络威胁,我们始终并持续高度重视网络安全,并建立了一套完善的安全运营服务方案,协助企业解决日常应急响应等问题。该方案包括但不限于以下方面:

1、内外部攻击面管理

京东云通过部署自研的主机安全、安全运营中心、网络入侵检测、威胁扫描等产品除了实现在日常的安全防护外,还通过产品自身采集的安全数据(如服务器版本、软件包版本、Web 中间件版本、Web 应用依赖版本等信息)进行深度运营,并实现内部攻击面测绘,同时由京东安全攻防专家以攻击视角进行系统的风险评估,借助外部攻击面管理平台以发现可能不常被关注到的攻击面信息(包括但不限于影子资产、小程序、APP、接口文档、大数据平台等等)。如下图所示,当高危服务或 0day 漏洞被披露时,第一时间实现风险的定位。


攻击面概览图


通过攻击面管理平台快速排查企业内外网 OpenSSH 漏洞影响范围

2、精准化漏洞情报

传统漏洞情报推送服务所推的漏洞往往过于注重大而全,针对性较差,导致企业处理漏洞效率极低。京东科技结合通过对接国内外多源主流漏洞情报网站,并结合内外部攻击面管理平台的测绘数据,通过安全剧本编排响应系统(SOAR)定制化推送相关联的漏洞情报(如此次 OpenSsh 漏洞,影响特定范围的版本),以更准确、更快速的消除企业安全威胁,解决其 0 Day 或 N day 漏洞的困扰

3、0day 漏洞风险处置闭环跟踪

通过京东云自研的安全工单系统,实现对应急场景下的 0day 漏洞风险治理、日常安全运营中的风险、漏洞等等实现完整闭环。


安全事件工单系统

四、京东云安全托管服务(MSS)

随着演习将至,企业不仅要面临常态化的外部网络攻击,同时也将面对专业攻击队伍高强度攻击下的网络安全挑战。为了更好地应对这些挑战,我们结合自身甲方安全建设与安全运营经验并总结,输出面向外部的专业安全托管服务(MSS)以面对客户日常及重保期间的安全需求。如下图所示,通过 SAAS 化+私有化探针部署的模式采集安全数据,经由云端或私有化安全运营中心实现告警的聚合、AI 等多种能力实现综合分析。


除内外部攻击面管理服务、精准化漏洞情报服务、安全工单系统以外,还包括但不限于

1、多年实战运营积累的优质 SOAR 剧本

结合京东云安全运营中心中积累多年的 SOAR 剧本,实现跨设备告警聚合并结合自身威胁情报数据对高危攻击 IP 实现自动封禁,同时对高危安全事件实现告警推送,外连阻断等等场景。


SOAR 剧本

2、跨云平台、跨不同厂商安全设备的统一接管

通过对接市场主流安全产品能力和功能,目前完成 20+主流厂商安全产品告警对接处置,实现第三方安全产品的告警接入与智能分析。

五、关于京东云安全

京东云安全不仅专注于京东云内部安全体系的构建与优化,还凭借京东在电商、物流、金融等多个领域的深厚安全实践经验,对外提供全面的安全能力输出,助力企业数字化转型过程中的安全保障,目前已服务并保障数百个安全客户。通过自主研发主机安全、Web 应用防火墙、安全运营中心等网络安全产品,根据企业特定需求,提供个性化的安全咨询、规划、实施及运维服务,并由安全服务组及交付人员共同完成安全服务、安全项目交付。

参考链接:

  • https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

  • https://github.com/zgzhang/cve-2024-6387-poc

  • https://stackdiary.com/openssh-race-condition-in-sshd-allows-remote-code-execution/

发布于: 刚刚阅读数: 4
用户头像

拥抱技术,与开发者携手创造未来! 2018-11-20 加入

我们将持续为人工智能、大数据、云计算、物联网等相关领域的开发者,提供技术干货、行业技术内容、技术落地实践等文章内容。京东云开发者社区官方网站【https://developer.jdcloud.com/】,欢迎大家来玩

评论

发布
暂无评论
从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应_京东科技开发者_InfoQ写作社区