beebright - stock.adobe.com
regreSSHion: OpenSSH-Schwachstelle betrifft viele Server
Eine Schwachstelle in OpenSSH kann es Angreifern erlauben, beliebigen Code auszuführen und zu einer vollständigen Systemübernahme führen. Viele Server könnten betroffen sein.
Qualys hat eine kritische OpenSSH-Schwachstelle aufgedeckt und davor gewarnt, dass mehr als 14 Millionen potenziell anfällige Serverinstanzen im Internet zu finden sind. In einem Blogbeitrag beschrieb Bharat Jogi, Senior Director der Threat Research Unit von Qualys, eine Sicherheitslücke in OpenSSH auf glibc-basierten Linux-Systemen, die eine unauthentifizierte Remote-Code-Ausführung ermöglicht (CVE-2024-6387). Qualys stellte fest, dass CVE-2024-6387 eine Regression einer zuvor gepatchten Schwachstelle (CVE-2006-5051) ist und es einem nicht authentifizierten Angreifer ermöglichen könnte, entfernten Code mit Root-Rechten auszuführen.
OpenSSH wird weithin zur Verschlüsselung und Sicherung von Kommunikationsvorgängen wie Dateiübertragungen eingesetzt, die in den letzten Jahren zu einem beliebten Ziel für Angreifer geworden sind. Qualys beschreibt OpenSSH als ein „entscheidendes Werkzeug für sichere Kommunikation“. Die weite Verbreitung von OpenSSH wirft nun jedoch erhebliche Probleme auf. Qualys führte Censys- und Shodan-Suchen durch, die mehr als 14 Millionen im Internet exponierte OpenSSH-Server fanden, die potenziell anfällig für CVE-2024-6387 sind, die der Anbieter „regreSSHion“ genannt hat.
„Anonymisierte Daten aus Qualys CSAM 3.0 mit External Attack Surface Management-Daten zeigen, dass etwa 700.000 externe, dem Internet zugewandte Instanzen verwundbar sind. Dies entspricht 31 Prozent aller internetorientierten Instanzen mit OpenSSH in unserem weltweiten Kundenstamm“, schreibt Jogi in seinem Blogpost. Jogi fügte hinzu, dass mehr als 0,14 Prozent der verwundbaren Instanzen eine OpenSSH-Version verwenden, die das Ende ihrer Lebensdauer (EOL) erreicht hat. Er warnte Unternehmen auch, dass CVE-2024-6387 OpenSSH-Versionen vor 4.4p1 betrifft, sofern sie nicht für CVE-2006-5051 und CVE-2008-4109 gepatcht sind.
Qualys hat herausgefunden, dass eine Ausnutzung zu einer vollständigen Systemkompromittierung führen kann und es einem Angreifer ermöglicht, Malware zu installieren, Daten zu manipulieren und Hintertüren zu erstellen, um den Zugang zu einer Opferumgebung aufrechtzuerhalten.
„Außerdem könnten Angreifer mit Root-Zugang kritische Sicherheitsmechanismen wie Firewalls, Intrusion-Detection-Systeme und Protokollierungsmechanismen umgehen und ihre Aktivitäten weiter verschleiern. Dies könnte auch zu erheblichen Datenschutzverletzungen und Datenlecks führen, da Angreifer Zugriff auf alle auf dem System gespeicherten Daten erhalten, einschließlich sensibler oder geschützter Informationen, die gestohlen oder öffentlich zugänglich gemacht werden könnten“, heißt es in dem Blogbeitrag.
Positiv ist, dass Qualys feststellte, dass die Schwachstelle „schwierig auszunutzen“ ist und mehrere Versuche erfordert, um einen erfolgreichen Angriff zu starten.
Die Bedeutung von Regressionstests
Qualys betonte, dass diese aktuelle Schwachstelle Probleme aufzeigt, die entstehen können, wenn Regressionstests nicht ordnungsgemäß durchgeführt werden. CVE-2024-6387 ist eine Regression von CVE-2006-5051, was laut Jogi typischerweise auf Änderungen oder Aktualisierungen in nachfolgenden Softwareversionen hinweist, die versehentlich eine zuvor gepatchte Schwachstelle wieder hervorbringen.
„Dieser Vorfall zeigt, wie wichtig gründliche Regressionstests sind, um die Wiedereinführung bekannter Schwachstellen in die Umgebung zu verhindern. Diese Regression wurde im Oktober 2020 eingeführt (OpenSSH 8.5p1)“, heißt es in dem Blogbeitrag.
Es sei wahrscheinlich, dass die Schwachstelle sowohl in macOS als auch in Windows-Rechnern besteht. Unternehmen können nach Ausnutzungsversuchen suchen, indem sie ihre Protokolle auf mehrere Zeilen „Time before authentication“ überprüfen.
Außerdem rät Qualys Unternehmen „dringend“ zu einem Patch. Obwohl der Fix Teil eines größeren Updates für OpenSSH ist, können Benutzer auf die am Montag veröffentlichte Version 9.8p1 aktualisieren oder einen Fix auf ältere Versionen anwenden.
In den Release Notes von OpenSSH wird betont, dass die korrigierte Version die Race Condition im OpenSSH-Server (sshd) behebt. Das Open-Source-Projekt stufte die Schwachstelle als kritisch ein, obwohl noch kein CVSS-Score vergeben wurde.
Während OpenSSH die erfolgreiche Ausnutzung von Qualys auf 32-Bit-Linux/glibc-Systemen hervorhob und dem Anbieter für die Entdeckung Anerkennung zollte, scheint es, dass auch andere Versionen anfällig sein könnten.
Es wird angenommen, dass eine Ausnutzung auf 64-Bit-Systemen möglich ist, aber es wurde zu diesem Zeitpunkt noch nicht demonstriert. Es ist wahrscheinlich, dass diese Angriffe noch verbessert werden", schreibt OpenSSH in den Release Notes. „Eine Ausnutzung auf Nicht-Glibc-Systemen ist denkbar, wurde aber nicht untersucht.“ Saeed Abbasi, Produktmanager und Schwachstellenforscher bei Qualys Threat Research Unit, erklärte gegenüber der TechTarget-Redaktion in den USA, dass das Unternehmen noch nicht festgestellt hat, ob x64-Systeme für CVE-2024-6387 anfällig sind.
regreSSHion – Maßnahmen zur Risikominimierung
Qualys rät Unternehmen und Betreibern von OpenSSH-Servern zu einigen Maßnahmen, um das Risiko der regreSSHion-Schwachstelle einzudämmen und gibt folgende Empfehlungen:
- Die verfügbaren Patches für OpenSSH sollten umgehend eingespielt werden. Die laufenden Aktualisierungsprozesse sollten entsprechend priorisiert werden.
- Die Zugriffskontrolle sollte optimiert werden. IT-Teams sollten den SSH-Zugang durch netzwerkbasierte Kontrollen beschränken, um die Angriffsrisiken zu minimieren.
- Intrusion Detection und Netzwerksegmentierung. Um Seitwärtsbewegungen und unbefugten Zugang innerhalb kritischer Umgebungen zu erschweren, sollten IT-Teams Netzwerke segmentieren. Zudem sollten Tools zum Einsatz kommen, mit denen sich ungewöhnliche Aktivitäten erkennen lassen.