OpenSSH漏洞全球27万多设备受影响 中国最严重地区是台湾 - 台湾云服务器租用资讯

OpenSSH内存耗尽漏洞CVE-2016-8858 将会消耗服务器37.5G内存 事件，绿盟科技将该漏洞定级为高危险等级，在当天晚上给出OpenSSH漏洞分析及防护方案。报告指出全球受此漏洞影响的设备数量超过27万，其中中国占4.87% ，受影响最为严重的地区为台湾（4192台）、其次是浙江、北京等。报告全文见文末下载。

全球漏洞分布情况

截止到今天，我们统计全球范围内存在此安全漏洞的设备数量已经达到274,371个。这些受此漏洞影响的设备数量最多的国家是美国，占全部的52.79%，其次是德国，占6.3%，第三是中国，占4.87%，剩余国家分别是法国、英国、俄罗斯联邦、荷兰、加拿大、意大利等。

以下为 NTI绿盟威胁情报中心 提供的数据，数据显示，TOP20国家的受此漏洞影响的设备数量占全球总数的91.61%，其余8.39%分散在其他国家和地区内。

全球受此漏洞影响的分布国家TOP20占比情况如下

G20成员国受影响暴露面统计如下

中国地区受此漏洞影响的设备分布情况

中国各省份及地区分布的受此漏洞影响的设备总数量达6,521个。其中台湾地区所占数量最多，有1,634台设备受影响，其次是浙江、北京、香港等地区。

TOP10省份的受此漏洞影响的设备数量占中国总数的81.63%。其余18.37%的数量分散于其他省份或地区内。受此漏洞影响的设备中国各省份及地区分布图如下

受此漏洞影响的设备中国TOP10省份排名

OpenSSH漏洞分析

SSH传输层握手过程如下图所示，在认证阶段，SSH客户端向服务器端发起认证请求， 服务器端对客户端进行认证。该漏洞的触发原理是：当服务器端收到发送的SSH2_MSG_KEXINIT包时，会在请求对应大小的内存，最大可达到384MB。在默认情况下，服务器的并发处理能力达到100条时，就会损耗服务器上的38400MB内存，导致远程拒绝服务漏洞。

SSH的握手过程如下

对该漏洞的修复在于向函数kex_input_kexinit()中添加对KEXINIT消息的处理。如下图所示，修复代码中增加的语句是：ssh_dispatch_set(ssh, SSH2_MSG_KEXINIT, NULL)。

ssh_dispatch_set()函数的定义是：

由此可得ssh->dispatch[SSH2_MSG_KEXINIT]= NULL，也就是说在接收到KEXINIT消息后，直接将其设置为NULL，就不会占用内存，避免该漏洞的产生。

OpenSSH漏洞修复建议

源代码修复

官方尚未发布新版本，但是提供了源代码的修复。建议用户对源代码进行升级和编译。代码修复链接如下：

http://cvsweb.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/kex.c#rev1.127

变通修复方面

• 在官方给出版本更新之前，如果OpenSSH服务不是必需的，建议临时将其关闭；如果用户确实需要OpenSSH服务，建议用户在使用时添加针对内存使用状况的监控。
• 限制OpenSSH的并发连接数，由于攻击者发起的每个连接最大可以消耗服务器384MB的内存，用户可以根据内存使用上限设置最大并发连接数
  • 最大并发数 = 内存使用上限（MB） /  384MB

    漏洞在线检测

    绿盟科技在线云检测，登陆绿盟科技云， 申请极光自助扫描服务试用 :

    漏洞防护

    已经购买了绿盟科技防护类产品服务的客户可以通过产品升级进行防护。

    • 使用绿盟科技的远程评估系统RSAS进行安全评估。
    • 使用绿盟科技防护类产品（NIPS/NIDS/NF）进行防护。

      另外，

      • 短期服务：绿盟科技工程师现场处理。确保第一时间消除网络内相关风险点，控制事件影响范围，提供事件分析报告。
      • 中期服务：提供 3-6个月的风险监控与巡检服务。根除风险，确保事件不复发。
      • 长期服务：基于行业业务风险解决方案（威胁情报+攻击溯源+专业安全服务）。

        绿盟科技声明

        本安全公告仅用来描述可能存在的安全问题，绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，绿盟科技以及安全公告作者不为此承担任何责任。绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告，必须保证此安全公告的完整性，包括版权声明等全部内容。未经绿盟科技允许，不得任意修改或者增减此安全公告内容，不得以任何方式将其用于商业目的。

        绿盟科技OpenSSH漏洞分析及防护方案全文下载

        点这里下载

        相关文章请参看

        绿盟科技发布预警通告 OpenSSH漏洞CVE-2016-8858将引发远程拒绝服务攻击

        OpenSSH内存耗尽漏洞CVE-2016-8858 将会消耗服务器37.5G内存

        原文发布时间：2017年3月24日

        本文由：绿盟科技 发布，版权归属于原作者

        原文链接：http://toutiao.secjia.com/nsfocus-openssh-vul台湾云服务器推介nerability-analysis-protection-cve2016-8858

        本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站