最近openssh 暴露出一个安全漏洞CVE-2023-38408,以下是相关资讯:
2023年7月19日,OpenSSH发布紧急安全补丁,以解决OpenSSH ssh-agent转发中存在安全漏洞远程执行CVE-2023-38408。漏洞由Qualys威胁研究单位(TRU)发现。
OpenSSH 是Secure Shell (SSH)协议的开源版本,提供一整套服务,旨在在客户端-服务器框架内的不安全网络上实现加密通信。 作为安全网络交互的重要组成部分,OpenSSH 是许多单位和企业网络防御策略的重要工具。
ssh-agent在这种情况下发挥着重要作用。它是一个辅助程序,通过跟踪用户的身份密钥和密码来简化用户身份验证过程。 一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验。
概述
CVE-2023-38408是一个远程代码执行漏洞,位于 ssh-agent 的转发功能内,特别是涉及提供PKCS#11相关服务的情况下。在某些条件下,可以操纵ssh-agent对PKCS#11的支持,以便通过转发的代理套接字来促进远程代码执行。利用的先决条件包括受害者系统上存在特定库以及需要将代理转发到攻击者控制的系统。
OpenSSH代理转发
ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,从而减少常规密码输入的需要。它在X或登录会话开始时启动,通过将密钥存储在内存中并仅在进程结束时卸载来进行操作。
它在自动化脚本或需要频繁服务器连接的任务中非常有用,因为它可以防止不安全的密码存储或持续的密码短语输入。到ssh-agent的连接可以从更远的远程转发,以避免需要将身份验证数据存储在其他机器上。尽管如此,使用强大的密码来保护密钥仍然至关重要。
潜在影响
利用此漏洞允许远程攻击者可以在受漏洞影响的OpenSSH转发的ssh-agent上执行任意命令。Qualys安全研究人员已经能够独立验证该漏洞并在Ubuntu Desktop 22.04和21.10的安装上开发PoC漏洞。其他Linux发行版可能容易受到攻击并且可能被利用。
解决方案
为了有效解决和防范CVE-2023-38408,请遵循以下综合步骤:
首先升级到OpenSSH 9.3p2或更高版本:升级到最新版本的OpenSSH至关重要,因为它包含缓解漏洞的关键补丁。确保所有相关系统和服务器及时更新至推荐版本或更高版本。
另外采取预防措施来避免被利用:
建议在仅仅OpenSSH用于远程主机管理的机器,通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。
关闭SSH代理转发功能方法为:
配置/etc/ssh/sshd_config
AllowTcpForwarding NO
总结
新发现的ssh-agent漏洞影响范围巨大,具有一定的威胁性,建议有关部分和企业即时升级补丁解决漏洞,并且通过配置、ACL限制等手段以确保安全。
因此,对于红帽系列的操作系统修复该安全漏洞,需要制作PRM包,制作过程可参考之前的博文:
centos 7 制作openssh8.7/8.8/8.9/9.0/9.1/9.2/9.3 p1 rpm包升级------筑梦之路_openssh rpm包_筑梦之路的博客-CSDN博客
rpm源码包
https://download.csdn.net/download/qq_34777982/88086071
二进制rpm包见我的资源。
以下是适用于不同操作系统的rpm包资源:
https://download.csdn.net/download/qq_34777982/88092935
https://download.csdn.net/download/qq_34777982/88090182