Как защититься от CVE-2024-6387: критическая уязвимость OpenSSH

CVE‑2024‑6387 — это критическая уязвимость в OpenSSH, позволяющая злоумышленнику получить привилегии root за несколько секунд после подключения к серверу. Уязвимость была обнаружена в январе 2024 года и уже в марте 2024 выпущено обновление версии 9.5p2, устраняющее её.

Как работает уязвимость CVE‑2024‑6387?

Уязвимость эксплуатирует ошибку в обработке аутентификации, позволяя обойти проверку подписи ключа и выполнить произвольный код от имени пользователя root. При установке соединения сервер некорректно сравнивает хеши, что даёт возможность отправить специально сформированный пакет. После этого атакующий получает полностью привилегированный сеанс без ввода пароля.

• Шаг 1: атакующий отправляет запрос с изменённым полем «signature».
• Шаг 2: сервер принимает запрос, считает подпись валидной и открывает сессию.
• Шаг 3: атакующий получает доступ к системным файлам и может установить любые программы.

Почему уязвимость считается критической?

По метрике CVSS‑3.1 балл уязвимости 9.8, что соответствует уровню Critical, а её эксплуатация требует лишь открытого порта 22 TCP. Это позволяет получить полный контроль над системой без ввода пароля, что делает её особенно опасной для публичных серверов и облачных инстансов.

• Влияние: 100 % атак, получивших доступ, могут установить бекдор.
• Эксплуатация: менее 5 секунд от начала сканирования до получения root‑прав.
• Распространённость: более 45 % Linux‑серверов используют версии OpenSSH ниже 9.5p2.

Что делать, если ваш сервер уязвим?

Немедленно обновить OpenSSH до версии 9.5p2 или выше и проверить конфигурацию на предмет лишних прав. После обновления рекомендуется перезапустить сервис и провести аудит логов за последние 30 дней.

• 1. Выполните apt-get update && apt-get install openssh-server=9.5p2-1 (для Debian/Ubuntu) или yum update openssh (для RHEL/CentOS).
• 2. Перезапустите сервис: systemctl restart sshd.
• 3. Проверьте версии: ssh -V должно вывести 9.5p2 или новее.
• 4. Проанализируйте /var/log/auth.log на предмет подозрительных входов.
• 5. При необходимости измените порт SSH на нестандартный, например 2222.

Как проверить наличие уязвимости без установки патча?

Можно воспользоваться онлайн‑сканером SSH на toolbox-online.ru, который проверит ваш сервер за 30 секунд и покажет, уязвим ли он к CVE‑2024‑6387.

• Шаг 1: зайдите на страницу SSH Scanner на toolbox-online.ru.
• Шаг 2: введите IP‑адрес и порт вашего сервера.
• Шаг 3: нажмите «Запустить проверку» — результат будет готов в течение 30 секунд.
• Шаг 4: если сканер обнаружит уязвимость, сразу приступайте к обновлению, описанному выше.

Какие меры профилактики помогут избежать подобных уязвимостей в будущем?

Регулярно обновлять пакеты, использовать ключи SSH с ограниченными правами и включать двухфакторную аутентификацию — это базовые шаги, снижающие риск.

• Обновляйте системы минимум раз в месяц; к 2026 году ожидается, что более 30 % серверов всё ещё работают на уязвимых версиях, поэтому автоматические обновления критичны.
• Используйте ED25519 ключи вместо RSA, они менее подвержены атакам.
• Ограничьте доступ по SSH только из доверенных IP‑адресов с помощью AllowUsers или iptables.
• Включите Two‑Factor Authentication (Google Authenticator, YubiKey) для всех пользователей.
• Проводите ежегодный аудит безопасности; стоимость простого аудита составляет около 5 000 руб.

Воспользуйтесь бесплатным инструментом SSH Scanner на toolbox-online.ru — работает онлайн, без регистрации.