从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应

京东云开发者
• 阅读 81

在当今数字化时代,网络安全已成为企业运营中不可忽视的重要一环。随着技术的不断发展,黑客攻击手段也在不断升级,其中0day漏洞的利用更是让企业防不胜防。0day漏洞是指在厂商尚未发布补丁修复的情况下,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给企业带来严重的安全威胁和经济损失。近日,OpenSSH曝出了一起严重的0day漏洞,引起了全球范围内的广泛关注。OpenSSH作为一种广泛使用的远程登录工具,其安全性直接关系到大量服务器和网络设备的安全。因此,这一漏洞的出现,不仅让各大企业纷纷加强自身的安全防护,也让我们再次意识到企业应急响应机制的重要性。

在本文中,我们将以此次CVE-2024-6387 OpenSSH Server 远程代码执行漏洞为例,深入探讨企业在面对0day漏洞时,应如何迅速、有效地进行应急响应。通过京东云安全运营服务方案和0day漏洞应急方案的介绍,我们希望能够为其他企业提供一些有价值的参考和借鉴,帮助大家共同提升网络安全防护能力。 一、CVE-2024-6387 OpenSSH Server 漏洞概述

OpenSSH(Open Secure Shell)是一种用于加密网络通信的工具,广泛应用于服务器管理、远程登录等场景。其安全性和可靠性使其成为各大企业和组织的首选工具之一。然而,正是由于其广泛的应用范围,一旦出现漏洞,影响面将极为广泛。此次披露的漏洞允许攻击者通过未认证的OpenSSH实现远程代码执行,此漏洞可在基于glibc 的 Linux 系统上远程利用,其中 syslog() 本身会调用异步信号不安全函数,并以 root 身份执行未经身份验证的远程代码,但OpenBSD不易受影响(因OpenBSD与2001年发明了syslog()的异步信号,使其更加安全)。其影响范围因CVE-2006-5051 补丁中加入了sigdie()的#ifdef DO_LOG_SAFE_IN_SIGHAND将不安全函数转为安全的_exit()调用,使得4.4p1(包含)至 8.5p1(不包含)之间版本不受影响,而8.5p1(包含)版本开始拿掉了#ifdef DO_LOG_SAFE_IN_SIGHAND被sigdie()移除,而导致自8.5p1(包含)开始至9.8p1(包含)版本均受此漏洞影响。 二、CVE-2024-6387 OpenSSH Server 应急响应的重要性

面对如此严重的安全威胁,企业如何迅速、有效地进行应急响应,避免被攻击者利用,成为了一个亟待解决的问题。尽管经过深入跟进该漏洞发现 ,该漏洞自身利用难度较大,攻击者需要经过多次尝试,并绕过系统保护自身保护机制(如ASLR),在特定版本下也需要6-8小时才可获取到RootShell,但仍存在被利用成功的可能,且在高强度对抗的实网对抗场景下,此漏洞的出现,引发了全球范围内的高度关注和紧急应对。

应急响应是企业安全运营的核心环节,其重要性不仅体现在事件发生后的快速修复和损失控制,更在于预防和及时检测潜在威胁,确保业务连续性和数据安全。一个高效的应急响应机制能够迅速动员多跨部门/团队,通过完善的沟通和协调,快速制定和实施应对策略,从而将安全事件的影响降至最低。此外,持续的培训和红蓝对抗演练也能够提升应急响应团队的应对能力,而事后分析和技术更新则不断优化应急响应流程,增强企业整体的安全防御能力。透明的外部沟通和积极的社会责任实践,不仅提升了客户和市场的信任度,也增强了企业的市场竞争力和声誉。因此,应急响应不仅是安全事件的补救措施,更是企业长期安全战略的重要组成部分,确保企业在面对各种安全威胁时,能够从容应对、快速恢复,保持业务的稳定和持续发展。 三、京东云安全运营最佳实践

京东云日常面临多种网络威胁,我们始终并持续高度重视网络安全,并建立了一套完善的安全运营服务方案,协助企业解决日常应急响应等问题。该方案包括但不限于以下方面: 1、内外部攻击面管理

京东云通过部署自研的主机安全、安全运营中心、网络入侵检测、威胁扫描等产品除了实现在日常的安全防护外,还通过产品自身采集的安全数据(如服务器版本、软件包版本、Web中间件版本、Web应用依赖版本等信息) 进行深度运营,并实现内部攻击面测绘,同时由京东安全攻防专家以攻击视角进行系统的风险评估,借助外部攻击面管理平台以发现可能不常被关注到的攻击面信息(包括但不限于影子资产、小程序、APP、接口文档、大数据平台等等)。如下图所示,当高危服务或0day漏洞被披露时,第一时间实现风险的定位。图片攻击面概览图图片通过攻击面管理平台快速排查企业内外网OpenSSH漏洞影响范围 2、精准化漏洞情报

传统漏洞情报推送服务所推的漏洞往往过于注重大而全,针对性较差,导致企业处理漏洞效率极低。京东科技结合通过对接国内外多源主流漏洞情报网站,并结合内外部攻击面管理平台的测绘数据,通过安全剧本编排响应系统(SOAR)定制化推送相关联的漏洞情报(如此次OpenSsh漏洞,影响特定范围的版本),以更准确、更快速的消除企业安全威胁,解决其0 Day或N day 漏洞的困扰。 3、0day漏洞风险处置闭环跟踪

通过京东云自研的安全工单系统,实现对应急场景下的0day漏洞风险治理、日常安全运营中的风险、漏洞等等实现完整闭环。图片安全事件工单系统 四、京东云安全托管服务(MSS)

随着演习将至,企业不仅要面临常态化的外部网络攻击,同时也将面对专业攻击队伍高强度攻击下的网络安全挑战。为了更好地应对这些挑战,我们结合自身甲方安全建设与安全运营经验并总结,输出面向外部的专业安全托管服务(MSS)以面对客户日常及重保期间的安全需求。如下图所示,通过SAAS化+私有化探针部署的模式采集安全数据,经由云端或私有化安全运营中心实现告警的聚合、AI等多种能力实现综合分析。图片除内外部攻击面管理服务、精准化漏洞情报服务、安全工单系统以外,还包括但不限于: 1、多年实战运营积累的优质SOAR剧本

结合京东云安全运营中心中积累多年的SOAR剧本,实现跨设备告警聚合并结合自身威胁情报数据对高危攻击IP实现自动封禁,同时对高危安全事件实现告警推送,外连阻断等等场景。图片SOAR剧本 2、跨云平台、跨不同厂商安全设备的统一接管

通过对接市场主流安全产品能力和功能,目前完成20+主流厂商安全产品告警对接处置,实现第三方安全产品的告警接入与智能分析。 五、关于京东云安全

京东云安全不仅专注于京东云内部安全体系的构建与优化,还凭借京东在电商、物流、金融等多个领域的深厚安全实践经验,对外提供全面的安全能力输出,助力企业数字化转型过程中的安全保障,目前已服务并保障数百个安全客户。通过自主研发主机安全、Web应用防火墙、安全运营中心等网络安全产品,根据企业特定需求,提供个性化的安全咨询、规划、实施及运维服务,并由安全服务组及交付人员共同完成安全服务、安全项目交付。

参考链接:

https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt
https://github.com/zgzhang/cve-2024-6387-poc
https://stackdiary.com/openssh-race-condition-in-sshd-allows-remote-code-execution/
点赞
收藏
评论区
推荐文章
警惕!GitLab 严重漏洞在野被广泛利用,企业需立即自查
1.前言近日,微步在线旗下微步情报局利用捕获到GitLab未授权远程命令执行漏洞(CVE202122205)在野利用,攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用,危害极大。GitLab是GitLabInc.开发用于代码仓库管理系统的开源项目。GitLab广泛应用于多个企业,该漏洞影响范围较广。2.事件详情在2
专注IP定位 专注IP定位
1年前
网络安全中API常见漏洞
据BleepingComputer网站披露,近20家汽车制造商和服务机构存API安全漏洞,这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪,窃取车主个人信息的恶意攻击活动。据悉,出现API漏洞的品牌包括但不限于宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、
Stella981 Stella981
2年前
Linux应急响应(三):挖矿病毒
0x00前言随着虚拟货币的疯狂炒作,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率,通过利用永恒之蓝(EternalBlue)、web攻击多种漏洞(如Tomcat弱口令攻击、WeblogicWLS组件漏洞、Jboss
Stella981 Stella981
2年前
APT攻击利器-Word漏洞CVE
一、概述近期,百度安全实验室反高级威胁团队截获多封利用MicrosoftOfficeWord漏洞进行攻击的恶意邮件。通过对邮件附件样本进一步分析发现,其利用的漏洞为澳洲国防部计算机应急响应中心提交的CVE20167193。该漏洞为RTF文件解析漏洞,成功利用该漏洞可以远程执行任意代码。我们拦截的样本双击打开后会在本地释放后门程序
微步在线 微步在线
2年前
GitLab 严重漏洞在野被广泛利用,企业需立即自查
1.前言近日,微步在线旗下微步情报局利用捕获到GitLab未授权远程命令执行漏洞(CVE202122205)在野利用,攻击成功后攻击者会植入挖矿木马进行挖矿。该漏洞无需进行身份验证即可进利用,危害极大。GitLab是GitLabInc.开发用于代码仓库管理系统的开源项目。由于GitLab广泛应用于多个企业,该漏洞影响范围较广。公众号后台回
专注IP定位 专注IP定位
5个月前
网络空间测绘在安全领域的应用(下)
3.漏洞感知漏洞感知能力在当今的网络安全领域是至关重要的,而其核心技术之一是漏洞验证技术。通过对漏洞信息与产品版本的关联,系统能够更准确地感知漏洞,但仅仅依靠这种数据关联会引发一系列问题。首先,漏洞是程序中存在的隐患,而在数字化时代,几乎所有由人编写的程序