资安业者Qualys 周一（7/1）警告，他们在基于glibc之Linux系统的Open Secure Shell（OpenSSH）服务器上发现一个安全漏洞CVE-2024-6387，将允许未经授权的黑客自远程运行任意程序，该漏洞波及了绝大多数的Linux版本。通过Censys与Shodan的扫描发现，网络上可能受影响的OpenSSH实例超过1,400万个，但Qualys CSAM 3.0外部攻击面管理工具的匿名数据则显示，有70万个曝露于公开网络上的OpenSSH实例确定含有该漏洞。

OpenSSH是一个基于Secure Shell（SSH）协定的开源网络加密通信工具，具备强大的加密能力以确保隐私与安全的文件传输，为远程服务器管理及安全数据通信的重要工具，最初是OpenBSD操作系统项目的一部分，约于2000年开始移植到其它平台，它现为大多数主要Linux版本的基本配置，涵盖Ubuntu、Debian、CentOS/RHEL、Fedora、openSUSE与macOS等。

CVE-2024-6387为OpenSSH信号处理进程的竞争条件漏洞，允许黑客在不需要身分验证的情况下，自远程运行任意程序，还能以最高权限运行，意味着能够完全掌控被骇系统。

不过，Qualys发现，这其实是个回归漏洞，同样的漏洞曾经出现在2006年的CVE-2006-5051，当时已被修复，却又在2020年10月发布的OpenSSH 8.5p1版本中重现。

受到该漏洞影响的版本为OpenSSH 4.4p1之前的版本，但只要曾修补CVE-2006-5051与CVE-2008-4109漏洞就不会受到影响；OpenSSH 4.4p1到OpenSSH 8.5p1则因部署了CVE-2006-5051而未遭波及；而OpenSSH 8.5p1至OpenSSH 9.8p1则是因意外删除函数中的关键组件而让漏洞重新出现。

另一方面，由于OpenBSD操作系统团队在2001年开发了一个安全机制来预防该漏洞，使得它并未受到该漏洞的牵连。

Qualys建议用户应该尽速部署可用的安全更新，强化存取控制，以及运行网络分段与入侵侦测来缓解可能的风险。

OpenSSH团队亦于本周一发布了OpenSSH 9.8/9.8p1， 以修补CVE-2024-6387及另一个逻辑漏洞。该团队亦说明，在实验室环境下，要攻陷CVE-2024-6387需要不断创建链接并持续6~8小时，直至达到服务器极限，目前已于具备ASLR的32比特Linux系统上成功展现。理论上该漏洞也可能用来攻击64比特的Linux系统，或是非glibc的系统，但前者尚未有人印证，后者则需深入研究。