0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

从CVE-2024-6387 OpenSSH Server 漏洞谈谈企业安全运营与应急响应

京东云 来源:jf_75140285 作者:jf_75140285 2024-07-10 10:29 次阅读

在当今数字化时代,网络安全已成为企业运营中不可忽视的重要一环。随着技术的不断发展,黑客攻击手段也在不断升级,其中0day漏洞的利用更是让企业防不胜防。0day漏洞是指在厂商尚未发布补丁修复的情况下,黑客已经发现并利用的安全漏洞。这类漏洞的危害极大,往往会给企业带来严重的安全威胁和经济损失。

近日,OpenSSH曝出了一起严重的0day漏洞,引起了全球范围内的广泛关注。OpenSSH作为一种广泛使用的远程登录工具,其安全性直接关系到大量服务器和网络设备的安全。因此,这一漏洞的出现,不仅让各大企业纷纷加强自身的安全防护,也让我们再次意识到企业应急响应机制的重要性。

在本文中,我们将以此次CVE-2024-6387 OpenSSH Server 远程代码执行漏洞为例,深入探讨企业在面对0day漏洞时,应如何迅速、有效地进行应急响应。通过京东云安全运营服务方案和0day漏洞应急方案的介绍,我们希望能够为其他企业提供一些有价值的参考和借鉴,帮助大家共同提升网络安全防护能力。

一、CVE-2024-6387 OpenSSH Server 漏洞概述

OpenSSH(Open Secure Shell)是一种用于加密网络通信的工具,广泛应用于服务器管理、远程登录等场景。其安全性和可靠性使其成为各大企业和组织的首选工具之一。然而,正是由于其广泛的应用范围,一旦出现漏洞,影响面将极为广泛。此次披露的漏洞允许攻击者通过未认证的OpenSSH实现远程代码执行,此漏洞可在基于glibc 的 Linux 系统上远程利用,其中 syslog() 本身会调用异步信号不安全函数,并以 root 身份执行未经身份验证的远程代码,但OpenBSD不易受影响(因OpenBSD与2001年发明了syslog()的异步信号,使其更加安全)。其影响范围因CVE-2006-5051 补丁中加入了sigdie()的#ifdef DO_LOG_SAFE_IN_SIGHAND将不安全函数转为安全的_exit()调用,使得4.4p1(包含)至 8.5p1(不包含)之间版本不受影响,而8.5p1(包含)版本开始拿掉了#ifdef DO_LOG_SAFE_IN_SIGHAND被sigdie()移除,而导致自8.5p1(包含)开始至9.8p1(包含)版本均受此漏洞影响

二、CVE-2024-6387 OpenSSH Server 应急响应的重要性

面对如此严重的安全威胁,企业如何迅速、有效地进行应急响应,避免被攻击者利用,成为了一个亟待解决的问题。尽管经过深入跟进该漏洞发现,该漏洞自身利用难度较大,攻击者需要经过多次尝试,并绕过系统保护自身保护机制(如ASLR),在特定版本下也需要6-8小时才可获取到RootShell,仍存在被利用成功的可能,且在高强度对抗的实网对抗场景下,此漏洞的出现,引发了全球范围内的高度关注和紧急应对。

应急响应是企业安全运营的核心环节,其重要性不仅体现在事件发生后的快速修复和损失控制,更在于预防和及时检测潜在威胁,确保业务连续性和数据安全。一个高效的应急响应机制能够迅速动员多跨部门/团队,通过完善的沟通和协调,快速制定和实施应对策略,从而将安全事件的影响降至最低。此外,持续的培训和红蓝对抗演练也能够提升应急响应团队的应对能力,而事后分析和技术更新则不断优化应急响应流程,增强企业整体的安全防御能力。透明的外部沟通和积极的社会责任实践,不仅提升了客户和市场的信任度,也增强了企业的市场竞争力和声誉。因此,应急响应不仅是安全事件的补救措施,更是企业长期安全战略的重要组成部分,确保企业在面对各种安全威胁时,能够从容应对、快速恢复,保持业务的稳定和持续发展。

三、京东云安全运营最佳实践

京东云日常面临多种网络威胁,我们始终并持续高度重视网络安全,并建立了一套完善的安全运营服务方案,协助企业解决日常应急响应等问题。该方案包括但不限于以下方面:

1、内外部攻击面管理

京东云通过部署自研的主机安全、安全运营中心、网络入侵检测、威胁扫描等产品除了实现在日常的安全防护外,还通过产品自身采集的安全数据(如服务器版本、软件包版本、Web中间件版本、Web应用依赖版本等信息进行深度运营,并实现内部攻击面测绘,同时由京东安全攻防专家以攻击视角进行系统的风险评估,借助外部攻击面管理平台以发现可能不常被关注到的攻击面信息(包括但不限于影子资产、小程序、APP、接口文档、大数据平台等等)。如下图所示,当高危服务或0day漏洞被披露时,第一时间实现风险的定位。

wKgaomaN8heAK4V2AADS2DaUKUM307.jpg

攻击面概览图

wKgZomaN8hiAO1rvAABX1jb6pH0065.jpg

通过攻击面管理平台快速排查企业内外网OpenSSH漏洞影响范围

2、精准化漏洞情报

传统漏洞情报推送服务所推的漏洞往往过于注重大而全,针对性较差,导致企业处理漏洞效率极低。京东科技结合通过对接国内外多源主流漏洞情报网站,并结合内外部攻击面管理平台的测绘数据,通过安全剧本编排响应系统(SOAR)定制化推送相关联的漏洞情报(如此次OpenSsh漏洞,影响特定范围的版本),以更准确、更快速的消除企业安全威胁,解决其0 Day或N day 漏洞的困扰

3、0day漏洞风险处置闭环跟踪

通过京东云自研的安全工单系统,实现对应急场景下的0day漏洞风险治理、日常安全运营中的风险、漏洞等等实现完整闭环。

wKgaomaN8hmALygpAABP6Km7vW0720.jpg

安全事件工单系统

四、京东云安全托管服务(MSS)

随着演习将至,企业不仅要面临常态化的外部网络攻击,同时也将面对专业攻击队伍高强度攻击下的网络安全挑战。为了更好地应对这些挑战,我们结合自身甲方安全建设与安全运营经验并总结,输出面向外部的专业安全托管服务(MSS)以面对客户日常及重保期间的安全需求。如下图所示,通过SAAS化+私有化探针部署的模式采集安全数据,经由云端或私有化安全运营中心实现告警的聚合AI等多种能力实现综合分析。

wKgZomaN8hmAESq5AAC7dv6YslI179.jpg

除内外部攻击面管理服务、精准化漏洞情报服务、安全工单系统以外,还包括但不限于

1、多年实战运营积累的优质SOAR剧本

结合京东云安全运营中心中积累多年的SOAR剧本,实现跨设备告警聚合并结合自身威胁情报数据对高危攻击IP实现自动封禁,同时对高危安全事件实现告警推送,外连阻断等等场景。

wKgaomaN8hqANsFLAABd7DbCRjE274.jpg

SOAR剧本

2、跨云平台、跨不同厂商安全设备的统一接管

通过对接市场主流安全产品能力和功能,目前完成20+主流厂商安全产品告警对接处置,实现第三方安全产品的告警接入与智能分析。

五、关于京东云安全

京东云安全不仅专注于京东云内部安全体系的构建与优化,还凭借京东在电商、物流、金融等多个领域的深厚安全实践经验,对外提供全面的安全能力输出,助力企业数字化转型过程中的安全保障,目前已服务并保障数百个安全客户。通过自主研发主机安全、Web应用防火墙、安全运营中心等网络安全产品,根据企业特定需求,提供个性化的安全咨询、规划、实施及运维服务,并由安全服务组及交付人员共同完成安全服务、安全项目交付。

参考链接:

https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

https://github.com/zgzhang/cve-2024-6387-poc

https://stackdiary.com/openssh-race-condition-in-sshd-allows-remote-code-execution/

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • Server
    +关注

    关注

    0

    文章

    90

    浏览量

    23999
  • 京东
    +关注

    关注

    2

    文章

    995

    浏览量

    48412
收藏 人收藏

    评论

    相关推荐

    高通警告64款芯片存在“零日漏洞”风险

    近日,高通公司发布了一项重要的安全警告,指出其多达64款芯片组中存在一项潜在的严重“零日漏洞”,编号为CVE-2024-43047。这一漏洞位于数字信号处理器(DSP)服务中,已经出现
    的头像 发表于 10-14 15:48 2331次阅读

    中海达出席广东省2024年度应急测绘保障与安全生产演练

    为进一步提升应急测绘保障工作能力与服务水平,强化测绘安全生产意识,推进应急测绘省市联动,广东省自然资源厅和汕尾市人民政府联合主办开展了广东省2024年度
    的头像 发表于 09-19 11:36 373次阅读

    祝贺!2024安全应急装备应用推广典型案例名单发布 英卡电子榜上有名

    根据《工业和信息化部办公厅关于组织开展2024安全应急装备应用推广典型案例征集工作的通知》(工信厅安全函〔2024〕51号),经
    的头像 发表于 08-30 12:59 178次阅读
    祝贺!<b class='flag-5'>2024</b>年<b class='flag-5'>安全</b><b class='flag-5'>应急</b>装备应用推广典型案例名单发布 英卡电子榜上有名

    电梯应急处置平台:守护安全应急响应再提速 梯云物联

    在现代化城市的高楼林立中,电梯作为垂直交通的重要工具,其安全性和可靠性直接关系到居民的生活质量与安全。然而,电梯故障或突发事件时有发生,如何迅速、有效地进行应急处置,成为了社会各界关注的焦点。近年来
    的头像 发表于 08-21 14:32 264次阅读

    微软推出Microsoft Entra 套件 + AI强化的统一安全运营平台

    地简化了保障访问安全、精准识别并填补关键安全漏洞、检测网络威胁、缩短应急响应时间以及高效优化运营流程的全过程。 科技的进步极大提升了我们工作
    的头像 发表于 07-12 16:31 538次阅读

    Git发布新版本 修补五处安全漏洞 包含严重远程代码执行风险

    CVE-2024-32002漏洞的严重性在于,黑客可通过创建特定的Git仓库子模块,诱骗Git将文件写入.git/目录,而非子模块的工作树。如此一来,攻击者便能在克隆过程中植入恶意脚本,用户几乎无法察觉。
    的头像 发表于 05-31 10:09 559次阅读

    苹果修复旧款iPhone和iPad内核零日漏洞

    此次更新的漏洞追踪编号为CVE-2024-23296,存在于RTKit实时操作系统。据了解,已有证据显示该漏洞已被黑客用于进行攻击,通过内核读写功能可绕过内存保护机制。
    的头像 发表于 05-14 14:06 499次阅读

    微软确认4月Windows Server安全更新存在漏洞,或致域控问题

    微软于昨日公告,承认其 4 月份发布的 Windows Server 安全补丁存在漏洞,该漏洞可能导致 LSASS 进程崩溃,进一步引发域控制器的启动问题。
    的头像 发表于 05-09 16:07 628次阅读

    PuTTY等工具曝严重安全漏洞:可还原私钥和伪造签名

    据报道,知名SSH和Telnet工具PuTTY于4月18日暴露安全漏洞CVE-2024-31497,涉及版本0.68至0.80。仅需使用60个签名,攻击者即可还原私钥。为应对此风险,官方更新推出0.81版本,呼吁使用者尽快升级。
    的头像 发表于 04-18 10:06 598次阅读

    微软修复两个已被黑客利用攻击的零日漏洞

    此次更新的精英账号“泄露型”安全漏洞(代号:CVE-2024-26234)源于代理驱动程序欺骗漏洞。萝卜章利用可信的微软硬件发布证书签名恶意驱动程序。
    的头像 发表于 04-10 14:39 530次阅读

    D-Link NAS设备存在严重漏洞,易受攻击者注入任意命令攻击

    该问题源于URL处理软件中的CGI脚本段“/cgi-bin/ nas_sharing. CGI”,其对HTTPGET请求的处理过程存在漏洞。该漏洞CVE-2024-3273作为识别号,其方式包括以”system“参数进行的命令
    的头像 发表于 04-08 10:28 809次阅读

    iOS 17.4.1修复两安全漏洞,涉及多款iPhone和iPad

     据报道,iOS/iPadOS17.4.1主要解决了Google Project Zero团队成员Nick Galloway发现并报告的两大安全漏洞CVE-2024-1580)。
    的头像 发表于 03-26 10:47 686次阅读

    趋势科技报告揭示黑客利用Windows Defender SmartScreen漏洞进行恶意软件分发

    这起事故被编号为CVE-2024-21412,出现在Windows Defender SmartScreen之中的一项漏洞,攻击者透过生成特定文件,轻易绕开微软系统的严密安全审查。
    的头像 发表于 03-14 09:48 414次阅读

    微软2024年首个补丁周二修复49项安全漏洞,其中2项为严重级别

    值得关注的是,编号为 CVE-2024-20674 的 Windows Kerberos 漏洞 CVSS 评分为 9,可谓当之无愧的“年度最危险漏洞”。据悉,此漏洞可使黑客发动中间人攻
    的头像 发表于 01-12 14:43 883次阅读

    ntopng如何将漏洞扫描与流量监控相结合,以提高网络安全

    CVE支持,可以实施漏洞报告,也可以扫描主机、端口并查找CVE,ntopng的独特之处在于将流量分析与漏洞评估合二为一。这意味着可以根据实际流量定位
    的头像 发表于 11-25 08:04 377次阅读
    ntopng如何将<b class='flag-5'>漏洞</b>扫描与流量监控相结合,以提高网络<b class='flag-5'>安全</b>性