OpenSSH远程拒绝服务漏洞技术分析与防护方案.PDFVIP

OpenSSH 远程拒绝服务漏洞 技术分析与防护方案 发布时间：2016 年10 月20 日 综述 OpenSSH 在秘钥交换过程中存在一个内存耗尽问题，一个未经认证的客户 端，可以通过重复KEXINIT 过程，使服务器上每个连接的内存分配增加至 384MB，如果攻击者利用该漏洞，发起多个连接，会使服务器的内存耗尽，造成 拒绝服务攻击。该漏洞存在于函数kex_input_kexinit()中，该漏洞编号为 CVE-2016-8858。相关链接如下： /id/1037057 什么是OpenSSH OpenSSH 是SSH （Secure SHell）协议的免费开源实现。SSH 协议族可以用 来进行远程控制，或在计算机之间传送文件。而实现此功能的传统方式，如 telnet(终端仿真协议)、 rcp ftp、 rlogin、rsh 都是极为不安全的，并且会 使用明文传送密码。OpenSSH 提供了服务端后台程序和客户端工具，用来加密 远程控件和文件传输过程中的数据，并由此来代替原来的类似服务。 影响的版本 OpenSSH 6.8-7.3 不受影响的版本 OpenSSH 6.8 @绿盟科技2016 漏洞分析 SSH 传输层握手过程如下图所示，在认证阶段，SSH 客户端向服务器端发起 认证请求， 服务器端对客户端进行认证。该漏洞的触发原理是：当服务器端收 到发送的SSH2_MSG_KEXINIT 包时，会在请求对应大小的内存，最大可达到 384MB。在默认情况下，服务器的并发处理能力达到100 条时，就会损耗服务器 上的38400MB 内存，导致远程拒绝服务漏洞。 图1 SSH 握手过程 对该漏洞的修复在于向函数kex_input_kexinit ()中添加对KEXINIT 消息的 处理。如下图所示，修复代码中增加的语句是：ssh_dispatch_set(ssh, SSH2_MSG_KEXINIT, NULL)。 图2 代码修复 @绿盟科技2016 ssh_dispatch_set()函数的定义是： 图3 ssh_dispatch_set()函数实现 由此可得ssh-dispatch[SSH2_MSG_KEXINIT]= NULL，也就是说在接收到 KEXINIT 消息后，直接将其设置为NULL，及时将占用的内存释放掉，从而避免 该漏洞的产生。 绿盟威胁情报中心NTI 对OpenSSH 漏洞全球影响分析 (1) 全球漏洞分布情况 截止到今天，我们统计全球范围内存在此安全漏洞的设备数量已经达到 274,371 个。这些受此漏洞影响的设备数量最多的国家是美国，占全部的 52.79%，其次是德国，占6.3%，第三是中国，占4.87%，剩余国家分别是法 国、英国、俄罗斯联邦、荷兰、加拿大、意大利等。 TOP20 国家的受此漏洞影响的设备数量占全球总数的91.61%，其余8.39% 分散在其他国家和地区内。 图4 受此漏洞影响的设备全球分布图 @绿盟科技2016 图5 全球受此漏洞影响的分布国家TOP20 占比 图6 G20 成员国受影响暴露面 (2) 中国地区受此漏洞影响的设备分布情况 @绿盟科技2016 中国各省份及地区分布的受此漏洞影响的设备总数量达14,606 个。其中台 湾地区所占数量最多，有4,192 台设备受影响，其次是浙江、北京、香港等地 区。 TOP10 省份的受此漏洞影响的设备数量占中国总数的81.91%。其余 18.09%的数量分散于其他省份或地区内。 图7 受此漏洞影响的设备中国各省份及地区分布图