客户最近收到一份监管部门发来的漏洞通报,上面显示通过互联网公网地址扫描到客户在网的防火墙设备存在OpenSSH远程代码执行漏洞风险(CVE-2024-6387)高风险漏洞,需要限期进行整改。
客户让防火墙厂家现场关闭了防火墙的ssh服务并升级防火墙软件版本,过了一个月还是再次被通报检测到存在漏洞,就感到非常的无奈了,查了很久也没找出原因。
客户组网拓扑
现场排分析过程
首先通过外网电脑CMD窗口telnet这个公网地址的22端口能通,所以确定扫描是没有问题的且启用的是sshv2,可以看出ssh的版本也比较低。
检查防火墙配置,WAN口的管理方式并没有开启SSH服务。
这时候就要怀疑是不是因为NAT目的转换或者端口映射导致,首先查看是否配置目的NAT。可以看出做了一对一的地址映射,判断扫描的时候是扫描到的内网的存储录像机的ssh服务,造成了防火墙存在ssh高危漏洞的假象。
解决办法
客户为什么要做目的NAT?
本次客户配置是一对一的地址映射,为了方便从手机和互联网电脑就能查看公司的监控,所以才在外网防火墙将视频的录像机地址做了一对一映射。这种情况下访问防火墙的公网地址实际上是访问的映射后的录像机的地址加端口,才有了防火墙关闭了SSH服务但是还是能通的现象。
●H3C交换机实战SNMPv2监控:配置步骤、抓包分析与安全风险警示