在GCP实例中检测与缓解CVE-2024-6387漏洞：第一部分

在GCP实例中检测与缓解CVE-2024-6387漏洞：第一部分

在当前快速演变的威胁环境中，抢先发现漏洞对于维护系统安全至关重要。最近，一个新的漏洞CVE-2024-6387被公开。本文将引导您完成使用自定义脚本获取公网IP并执行CVE检查，以检测和缓解您GCP实例中此漏洞的步骤。

理解CVE-2024-6387

CVE-2024-6387是在特定版本的OpenSSH中发现的一个高危漏洞。利用此漏洞可能允许未经授权的系统访问，从而导致潜在的数据泄露和其他安全事件。通过识别和缓解此类漏洞来确保系统安全势在必行。

为什么CVE-2024-6387如此关键？

CVE-2024-6387是OpenSSH（一套广泛使用的安全网络实用程序）特定版本中的一个高危漏洞。利用此漏洞可能允许未经授权的系统访问，从而导致潜在的数据泄露、未经授权的系统控制和其他严重的安全事件。OpenSSH在许多环境中（包括像GCP这样的云基础设施）被广泛使用，这使得及时识别和缓解此漏洞变得至关重要。

前提条件

在我们深入探讨脚本之前，请确保您具备：

• 访问您的GCP环境，gcloud已设置并具备相应权限。
• 列出实例及其公网IP的适当权限。
• 具备Shell脚本编写和安全扫描工具的基本知识。

检测CVE-2024-6387的分步指南

步骤 1: 从GCP实例获取公网IP

首先，我们需要收集GCP环境中所有实例的公网IP地址。以下是一个自动执行此过程的脚本：

#!/bin/bash# 功能：列出组织中的所有项目list_all_projects(){gcloud projects list --format="value(projectId)"}# 功能：检查特定API是否在项目中启用is_api_enabled(){localproject=$1localapi=$2gcloud services list --project="$project"--filter="name:$api"--format="value(name)"}# 功能：列出给定项目中的所有实例list_instances(){localproject=$1gcloud compute instances list --project="$project"--format="json"}# 主函数main(){# 创建或清空用于存储公网IP的文件output_file="public_ips.txt"ip_only_file="ip_addresses.txt":>"$output_file":>"$ip_only_file"# 获取所有项目的列表projects=$(list_all_projects)forprojectin$projects;doecho"Processing Project:$project"# 检查项目是否启用了Resource Manager APIif[[-z"$(is_api_enabled"$project""cloudresourcemanager.googleapis.com")"]];thenecho"Resource Manager API is not enabled for project$project. Skipping..."continuefi# 检查项目是否启用了Compute Engine APIif[[-z"$(is_api_enabled"$project""compute.googleapis.com")"]];thenecho"Compute Engine API is not enabled for project$project. Skipping..."continuefi# 获取当前项目中的所有实例列表instances=$(list_instances"$project")# 检查是否存在任何实例if[["$instances"!="[]"]];then# 遍历每个实例并提取公网IPforinstancein$(echo"$instances"|jq -r'.[] | @base64');do_jq(){echo${instance}|base64 --decode|jq -r${1}}instance_name=$(_jq'.name')zone=$(_jq'.zone'|awk-F/'{print $NF}')public_ips=$(_jq'.networkInterfaces[].accessConfigs[]?.natIP')# 检查是否存在公网IP并写入输出文件if[[-n"$public_ips"]];thenforipin$public_ips;doecho"$project,$zone,$instance_name,$ip">>"$output_file"echo"$ip">>"$ip_only_file"donefidonefidoneecho"Public IPs have been written to$output_file"echo"IP addresses have been written to$ip_only_file"}main

步骤 2: 检查CVE-2024-6387漏洞

接下来，我们需要检查每个IP地址是否存在该漏洞。我们将使用 https://github.com/xaitax/CVE-2024-6387_Check 这个工具。

gitclone https://github.com/xaitax/CVE-2024-6387_Check.gitcdCVE-2024-6387_Checkcp../ip_addresses.txt CVE-2024-6387_Check python CVE-2024-6387_Check.py -l ip_addresses.txt

现在，您将获得存在CVE-2024-6387漏洞的详细实例信息，并可以将其映射到您的项目。

结论

通过利用此脚本，您可以有效地扫描GCP实例中是否存在CVE-2024-6387漏洞。定期更新您的系统并主动处理安全漏洞，是维护强大安全态势的关键步骤。我们将在后续讨论此漏洞的缓解措施和详细信息。
CSD0tFqvECLokhw9aBeRqnYu9nnJ+O8SQ3Pz74UTLjEn8iuVhGgT4I3Db63L7M81oDlB9alDPnaO3XQLnkk5Z8MRk2jUh8NlldnIlRAxH9NeZZJJnCLvwxwtrSV/x5/hLKUvAM9cjs3gZZAHmJUNI2DhS/jWlDOZyoImvp7agqc=
更多精彩内容 请关注我的个人公众号 公众号（办公AI智能小助手）
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号（网络安全技术点滴分享）