资安业者Qualys 周一（7/1）警告，他们在基于glibc之Linux系统的Open Secure Shell（OpenSSH）伺服器上发现一个安全漏洞CVE-2024-6387，将允许未经授权的骇客自远端执行任意程式，该漏洞波及了绝大多数的Linux版本。透过Censys与Shodan的扫描发现，网路上可能受影响的OpenSSH实例超过1,400万个，但Qualys CSAM 3.0外部攻击面管理工具的匿名资料则显示，有70万个曝露于公开网路上的OpenSSH实例确定含有该漏洞。

OpenSSH是一个基于Secure Shell（SSH）协定的开源网路加密通讯工具，具备强大的加密能力以确保隐私与安全的档案传输，为远端伺服器管理及安全资料通讯的重要工具，最初是OpenBSD作业系统专案的一部分，约于2000年开始移植到其它平台，它现为大多数主要Linux版本的基本配置，涵盖Ubuntu、Debian、CentOS/RHEL、Fedora、openSUSE与macOS等。

CVE-2024-6387为OpenSSH讯号处理程序的竞争条件漏洞，允许骇客在不需要身分验证的情况下，自远端执行任意程式，还能以最高权限执行，意味著能够完全掌控被骇系统。

不过，Qualys发现，这其实是个回归漏洞，同样的漏洞曾经出现在2006年的CVE-2006-5051，当时已被修复，却又在2020年10月发布的OpenSSH 8.5p1版本中重现。

受到该漏洞影响的版本为OpenSSH 4.4p1之前的版本，但只要曾修补CVE-2006-5051与CVE-2008-4109漏洞就不会受到影响；OpenSSH 4.4p1到OpenSSH 8.5p1则因部署了CVE-2006-5051而未遭波及；而OpenSSH 8.5p1至OpenSSH 9.8p1则是因意外删除函数中的关键元件而让漏洞重新出现。

另一方面，由于OpenBSD作业系统团队在2001年开发了一个安全机制来预防该漏洞，使得它并未受到该漏洞的牵连。

Qualys建议使用者应该尽速部署可用的安全更新，强化存取控制，以及执行网路分段与入侵侦测来缓解可能的风险。

OpenSSH团队亦于本周一释出了OpenSSH 9.8/9.8p1， 以修补CVE-2024-6387及另一个逻辑漏洞。该团队亦说明，在实验室环境下，要攻陷CVE-2024-6387需要不断建立连结并持续6~8小时，直至达到伺服器极限，目前已于具备ASLR的32位元Linux系统上成功展现。理论上该漏洞也可能用来攻击64位元的Linux系统，或是非glibc的系统，但前者尚未有人印证，后者则需深入研究。