|
产品线 |
AI产品部 |
产品族/SPDT |
Ascend |
|
产品型号 |
Ascend HDK、Atlas 200I A2、Atlas 200、PI300T、PI300T G2、PR205KI、PR210KI、PR420KI、PR420KI G2、PR425KI G2 |
发布时间 |
2025-08-31 |
|
涉及版本 |
一、Ascend HDK中NPU驱动的版本 (1)训练产品不涉及该漏洞。 (2)推理产品(EP形态)NPU驱动版本小于24.1.RC2涉及该漏洞。 推理产品(EP形态)包含:PI300T智能小站、Atlas 200 AI加速模块、Atlas 200I A2加速模块、PR205KI、PR210KI。 (3)推理产品(RC形态)不区分host与device,跟随OS的OpenSSH受影响情况,OpenSSH版本小于4.4p1或者8.5p1 <= OpenSSH < 9.8p1的涉及。 注:Atlas 200 AI加速模块需要客户自行判断使用方式 二、BMC版本 (1)针对PR420KI G2、PR425KI G2,BMC版本小于3.10.2.55涉及该漏洞。 (2)针对PR420KI,BMC版本小于3.11.0.27涉及该漏洞。
|
||
|
操作类别 |
漏洞维护公告 |
||
|
漏洞信息概览 |
漏洞标题 |
OpenSSH远程代码执行漏洞 |
|
|
漏洞编号 |
HWPSIRT-2024-56267 |
||
|
CVE编号 |
CVE-2024-6387 |
||
|
原始CVSS分 |
HWPSIRT-2024-56267:8.1 |
||
|
严重等级评估后CVSS分 |
HWPSIRT-2024-56267:8.1 |
||
|
漏洞处理优先级 |
1级 |
||
|
操作要求 |
知会客户 |
||
|
联系人 |
服务接口人 |
张胡耐 |
|
|
研发接口人 |
刘祥 |
||
关键字:OpenSSH, CVE-2024-6387
【漏洞描述和背景介绍】
业界披露OpenSSH远程代码执行(CVE-2024-6387)远程代码执行漏洞,未授权的远程攻击者可能利用此漏洞在目标服务器上执行任意代码。
【影响和风险】
未经身份验证的攻击者利用漏洞可以在受害者Linux系统上以root身份执行任意代码,造成机密性、完整性和可用性全面损失。
影响排查和风险评估步骤如下图,32位系统下风险较高,昇腾产品均是64位系统,风险相对较低。
【技术原因】
攻击者发送特定报文到目标设备,由于目标设备的OpenSSH服务的信号处理中存在条件竞争问题,导致未经身份验证的攻击者可利用此漏洞在目标设备上远程执行任意代码。
【利用条件】
1. 服务端启用OpenSSH服务
2. 攻击者能够访问SSH服务使用的端口,默认端口为22
【漏洞修补措施】
临时消减方案:
一、针对推理产品(EP形态)的规避措施
规避措施:禁用芯片的SSH使能
规避说明:配置所有芯片的SSH使能状态为禁用
规避影响:不能从host利用ssh登录到芯片侧
二、针对推理产品(RC形态)的规避措施
规避措施一:
规避说明:优先通过防火墙、网络拓扑等网络策略阻隔网络连接,将openssh服务端口仅开放给白名单可信IP访问。
规避影响:仅白名单可信IP访问openssh服务端口。
规避措施二:
规避说明:以PI300T G2为例。PI300T G2可通过更改OpenSSH(D)的配置,限制LoginGraceTime 为 0,如: 在配置文件/etc/ssh/sshd_config 中,增加: LoginGraceTime 0 注:LoginGraceTime不设置(默认)为120,即当用户登录ssh时要求输入凭证的时间限制,默认120s内没有输入则自动断开。限制LoginGraceTime 为 0代表sshd将不对ssh链接进行超时限制。
规避影响:该方式可能导致ssh服务器连接数被攻击者占满而不释放,从而导致管理员可能无法通过ssh连接到服务端。请谨慎评估是否会影响ssh管理维护过程。
三、针对BMC和RM211的规避措施
规避措施一:配置安全登录规则
规避说明:仅允许受信任的IP段、MAC段在允许时间登录,降低SSH攻击成功概率。
规避影响:仅有满足安全登录规则限制要求的用户才能登录BMC,配置安全登录规则后,可能导致部分用户无法登录及影响SSH服务相关的工具使用(如SmartKit等),该规避方案需提前告知客户影响,获取客户授权后才可执行。
方法1:Web界面操作
步骤1:用户&安全——安全配置——登录规则
步骤2:配置自定义登录规则
步骤3:对需要配置登录规则的用户,在用户&安全——本地用户——编辑界面勾选对应规则
方法2:Redfish接口操作
配置自定义登录规则:
URL:https://device_ip/redfish/v1/Managers/manager_id
操作类型:PATCH
请求消息体:
"Oem":
"Huawei":
"LoginRule": [
{
"RuleEnabled": ruable_value,
"StartTime": strat_time_value,
"EndTime": end_time_value,
"IP": ip_value,
"Mac": mac_value
}
]
}
}
}
给指定用户配置登录规则:
URL:https://device_ip/redfish/v1/AccountService/Accounts/account_id
操作类型:PATCH
请求消息体:
{
"Oem": {
"Huawei": {
"LoginRule": [
LoginRule_value
]
}
}
}
规避措施二:关闭SSH服务
规避说明:关闭SSH服务,隔离攻击路径,避免该漏洞影响。
规避影响:涉及到SSH服务的功能将无法使用(如SmartKit等),该规避方案需提前告知客户影响,获取客户授权后才可执行。
方法1:Web界面操作
步骤1:服务管理——端口服务
步骤2:关闭SSH服务
方法2:Redfish接口操作
URL:https://device_ip/redfish/v1/Managers/manager_id/NetworkProtocol
操作类型:PATCH
请求消息体:
{
"SSH":
"ProtocolEnabled": false
}
}
解决方案:
|
受影响产品 |
产品解决版本 |
解决方案补充说明 |
|
Ascend HDK |
Ascend HDK 24.1.RC2 |
NPU驱动需要和固件一起升级 |
|
PR420KI G2、PR425KI G2 |
BMC解决版本3.10.02.55 |
涉及漏洞的是BMC,但是建议BMC、BIOS、CPLD一起升级。 |
后续改善计划
云顶4008集团官网机会持续跟进该漏洞的最新动态,请关注云顶4008集团官网机官网、官微公告有任何关于此漏洞修复的问题,可以通过以下方式联系我们:
云顶4008集团官网机售后咨询热线:4008-870-872
云顶4008集团官网PSIRT邮箱:psirt@powerleadercom.cn
云顶4008集团官网机官网:http://www.powerleadercom.cn
云顶4008集团官网服务器
云顶国际4008am
4008-870-872
维护服务
云顶4008集团官网服务器公众号