OpenSSH代理转发远程代码执行漏洞（CVE-2023-38408）

安全研究人员发布了一份针对OpenSSH代理转发功能中严重远程代码执行（RCE）漏洞（CVE-2023-38408）的详细技术分析报告，该漏洞早在2023年7月就已被披露。

一、漏洞发现与危害程度

Qualys威胁研究部门发现了这个漏洞，它的影响范围相当广泛，波及9.3p2版本之前的所有OpenSSH版本。在通用漏洞披露（CVE）评分体系中，该漏洞的得分高达9.8分，几近满分，这意味着它具有极大的危害性。

二、SSH代理转发功能介绍

SSH代理转发功能原本是为了方便用户，允许在不将私钥存储在中间系统的情况下，对多个服务器进行身份验证。启用该功能后，远程服务器上会创建一个与本地ssh-agent通信的套接字。不过，这个功能虽然便利，但其安全性一直备受质疑，OpenSSH自身文档也对其中存在的安全隐患发出过警示。

三、漏洞详情

依据Vicarius的技术分析，此漏洞的根源在于“可信度不足的搜索路径”。当SSH代理被转发到攻击者控制的系统时，会从不安全路径（/usr/lib）加载代码。值得注意的是，这一问题是在2016年修复CVE-2016-10009漏洞后出现的新安全缺口。

该漏洞隐藏在OpenSSH的PKCS#11功能中。一旦SSH代理被转发到受攻击的系统，攻击者就能利用这个漏洞执行恶意代码。这一情况揭示了许多系统管理员和开发人员日常依赖的常见功能，实际上存在着巨大的安全风险。

攻击者利用该漏洞的过程较为复杂，但危害极大。如果攻击者能够访问用户SSH代理被转发到的服务器，他们会采取以下一系列恶意操作：

使堆栈可执行：通过加载特定的共享库，让ssh-pkcs11-helper的堆栈具备可执行权限。

注入恶意代码：将恶意的shellcode注入到进程内存中。

篡改内存布局：改变内存布局，同时替换信号处理程序。

触发段错误执行恶意命令：触发一个段错误，进而实现以转发SSH代理的用户权限运行任意命令。

安全研究人员通过Shodan搜索结果估计，超过800万个系统使用了可能存在漏洞的OpenSSH版本，其中约46000个系统专门暴露了OpenSSH代理。考虑到内部网络部署的情况未被统计在内，实际受影响的系统数量可能更多。

四、漏洞披露时间线

回顾漏洞披露的时间线，整个过程各相关方处理得较为妥善。2023年7月6日，最初的安全公告草案和补丁被提交给OpenSSH，之后进行了修订和反馈交流。7月19日，OpenSSH宣布了仅针对安全问题的版本发布，并进行了协调后的漏洞披露。

五、安全修复措施与缓解策略

（一）官方修复方案

OpenSSH 9.3p2版本针对该漏洞实施了多项安全增强措施：

终止无效进程：直接终止无效的PKCS#11提供程序的进程，从源头阻断潜在风险。

禁止远程添加：默认情况下，禁止远程添加FIDO/PKCS11提供程序，减少外部攻击途径。

预先验证库：预先对相关库进行验证，确保其包含预期的符号，防止恶意库的加载。

创建单独进程：为每个PKCS11模块创建单独的辅助进程，降低风险扩散范围。

（二）专家建议的缓解策略

安全专家也给出了一些实用的缓解策略：

及时升级版本：尽快将OpenSSH升级到9.3p2或更高版本，以获得官方修复的安全保障。

限制使用来源：仅在受信任的来源使用PKCS#11提供程序，避免引入未知风险。

谨慎使用功能：谨慎对待SSH代理转发功能，仅在受信任的环境中使用，降低被攻击的可能性。

定期安全扫描：定期开展安全扫描工作，及时检测潜在的攻击利用行为，做到早发现早处理。

这一漏洞的出现，再次提醒我们在保护复杂网络协议安全方面面临着持续的挑战，即便修复了先前的漏洞，新的安全问题仍可能出现。此次详细的技术分析为我们提供了宝贵的见解，同时也着重强调了深入理解便利性功能所带来安全影响的重要性。在日常的系统管理和开发过程中，我们必须时刻保持警惕，严格落实安全措施，确保系统安全。

[超站]友情链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
关注数据与安全，洞悉企业级服务市场：https://www.ijiandao.com/