就在刚刚 OpenSSH 爆出大漏洞（漏洞代号为 regreSSHion，CVE 标识符为 CVE-2024-6387）的消息在全网刷屏，这是迄今为止，OpenSSH 爆出为数不多重大漏洞之一，虽仅针对特定系统和特定的 OpenSSH 版本，但是网络安全问题仍旧不容小觑，快来检查一下你的 VPS是否收到影响。

注意：一旦有公开漏洞可用，预计易受攻击的系统就会开始受到攻击。

文章目录

• 1 OpenSSH 漏洞会造成哪些后果？
• 2 漏洞攻击方法？
• 3 哪些系统或 OpenSSH 版本受到漏洞影响？
• 4 此漏洞影响范围有多大？
• 5 如何查看当前系统 OpenSSH 版本信息？
• 6 针对此漏洞如何应对？
  • 6.1 1、升级至安全版本。
  • 6.2 2、安装类似于 Fail2ban 的防护程序
  • 6.3 3、限制 SSH 访问

OpenSSH 漏洞会造成哪些后果？

后果很严重！利用该漏洞 CVE-2024-6387 的最终结果是攻击者可以入侵整个系统，安装恶意软件、操纵数据并建立后门以实现持久访问。这种漏洞能够通过网络传播并绕过安全机制，因此对企业和个人来说都特别危险。

漏洞攻击方法？

成功利用这个漏洞通常需要多次尝试登录，总共要花几个小时。如果黑客不停地尝试，看起来就像在暴力破解密码。所以，如果系统有防暴力破解的保护措施，就能有效地防御这种攻击。在防护好的系统里，这种攻击成功的可能性很低。

不过，黑客不一定会连续不断地攻击。理论上，他们可能会用几周时间，时不时地尝试一下，还会换不同的网络地址。这种方法类似于”密码喷洒”攻击，更难被发现。有耐心、技术高超的黑客可能会用这种方法来攻击特定的目标。

哪些系统或 OpenSSH 版本受到漏洞影响？

以下版本的 OpenSSH 受此漏洞影响：

• 低于 4.4p1 的 OpenSSH 版本
• 8.5p1 和 9.8p1 之间的 OpenSSH 版本

该漏洞可在基于 glibc 的 Linux 发行版（例如，基于 Debian 的发行版）上利用。

补充说明：并非 8.5p1 和 9.8p1 之间的 OpenSSH 版本一定是受影响版本，如若按照下列更新补丁后，仍旧显示该版本号，但后缀会显示打完补丁后的版本号，请不要弄混淆。

此漏洞影响范围有多大？

该漏洞影响范围非常广泛，通过 Censys 和 Shodan 搜索发现超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例。

如何查看当前系统 OpenSSH 版本信息？

ssh 登录远程服务器后使用 ssh -V 命令查询。

下图是我的甲骨文实例，当前系统为 Ubuntu22.04，通过 ssh -V 命令查询得知在漏洞影响范围内！而且经过实测 Digitalocean、Oraclecloud、Atlantic 等众多 Ubuntu 22.04 的系统默认版本均为 OpenSSH_8.9p1，可见范围之广！

针对此漏洞如何应对？

1、升级至安全版本。

OpenSSH 官方已经发布最新针对此漏洞的更新版本：OpenSSH 9.8 于 2024-07-01 发布。https://www.openssh.com/releasenotes.html

当前，Ubuntu 和 Debian 已经针对此次漏洞紧急做出修补版本，通过更新源和升级系统即可解决。

• Ubuntu 软件源更新：https://ubuntu.com/security/notices/USN-6859-1
• Debian 软件园更新：https://security-tracker.debian.org/tracker/CVE-2024-6387

远程登录 Ubuntu 和 Debian 系统后，只需要执行下列命令，即可成功安装针对该漏洞补丁

sudo apt update

sudo apt upgrade -y

这里以 Ubuntu 系统来说，按照官方说明：如果是 22.04 的 Ubuntu 系统，那么运行完以上命令，当重新执行 ssh -V 命令查看版本信息，发现版本仍旧是 OpenSSH_8.9p1，不要担心，并非是没有打上补丁，而是查看下图中红色框中的信息，当运行 sudo apt policy openssh-server 命令后出现和 Ubuntu 官方对应的版本信息则意味着已经打补丁成功。

未打补丁之前是这样的：Ubuntu-3ubuntu0.6，打完补丁为：8.9p1-3ubuntu0.10

2、安装类似于 Fail2ban 的防护程序

针对此漏洞的攻击方法，安装 Fail2ban 可以有效降低受攻击的成功率。它的功能是监控对服务器的入侵尝试，并在一段时间内阻止违规主机。它通过将显示恶意活动的任何 IP 地址添加到你的防火墙规则中来实现此目的。强烈建议在服务器上安装 Fail2ban 之类的东西，以保护你的服务器。

sudo apt install fail2ban -y
sudo service fail2ban start

相关阅读：VPS安全实操指南：如何避免黑客入侵并保障服务器安全

3、限制 SSH 访问

限制 SSH 访问，不要将 OpenSSH 服务器暴露给 Internet。或仅限特定IP登录访问，以尽可能的提高服务器的安全级别。

文中若有误，欢迎批评指出。我也是在慢慢的学习，难免有不妥之处，还请各位见谅。

如有转载请注明出处：https://w.haolusi.com/openssh-major-vulnerability-root-access

相关阅读

• 美国的”国家安全”游戏：一个旁观者的忧思
• 马斯克震惊：互联网大数据枯竭将成AI毁灭性打击
• 互联网巨头离世说：互联网并非永恒，这对我们意味着什么?
• 简体中文互联网生态的没落与反思
• 谷歌算法更新引发互联网巨变，独立网站何去何从？
• 版权陷阱-自建网站或图片设计中那些潜在的字体侵权隐患

感谢打赏支持