OpenSSH安全网络套件的某些版本存在一个新的漏洞，该漏洞可能触发远程代码执行（RCE）。

该漏洞被跟踪为 CVE-2024-6409（CVSS 评分：7.0），与 CVE-2024-6387（又名 RegreSSHion）不同，与由于信号处理中的争用条件而导致的 privsep 子进程中的代码执行情况有关。它仅影响 Red Hat Enterprise Linux 9 附带的 8.7p1 和 8.8p1 版本。

安全研究员亚历山大·佩斯利亚克（Alexander Peslyak）的别名是太阳能设计师，他因发现和报告该漏洞而受到赞誉，该漏洞是在本月早些时候Qualys披露CVE-2024-6387后在审查CVE-2024-6387时发现的。

“与 CVE-2024-6387 的主要区别在于，竞争条件和 RCE 潜力是在 privsep 子进程中触发的，与父服务器进程相比，该进程以较低的权限运行，”Peslyak 说。

“因此，直接影响较低。但是，在特定情况下，这些漏洞的可利用性可能存在差异，这可能使其中任何一个对攻击者来说更具吸引力，如果只有一个漏洞得到修复或缓解，那么另一个漏洞就会变得更加重要。

但是，值得注意的是，信号处理程序争用条件漏洞与 CVE-2024-6387 相同，其中如果客户端未在 LoginGraceTime 秒（默认为 120 秒）内进行身份验证，则 OpenSSH 守护进程的 SIGALRM 处理程序将被异步调用，然后调用各种非异步信号安全的函数。

根据漏洞描述，“此问题使其容易受到 cleanup_exit（） 函数上的信号处理程序争用条件的影响，该条件在 SSHD 服务器的非特权子项中引入了与 CVE-2024-6387 相同的漏洞。

“由于攻击成功，在最坏的情况下，攻击者可能能够在运行 sshd 服务器的非特权用户中执行远程代码执行 （RCE）。

此后，在野外检测到 CVE-2024-6387 的活跃漏洞，未知威胁行为者主要针对位于中国的服务器。

“此攻击的初始向量源自 IP 地址 108.174.58[.]28，据报道，该目录列出了用于自动利用易受攻击的SSH服务器的漏洞利用工具和脚本，“以色列网络安全公司Veriti说。