[Alert] VUMA: RegreSSHion – Gefahr für exponierte SSH-Zugänge

Autor
Sandro Bachmann
Veröffentlicht
03. Juli 2024

Die Qualys Threat Research Unit (TRU) hat eine Schwachstelle in OpenSSHs Server – auch bekannt als sshd – in glibc-basierten Linux-Systemen entdeckt, die eine entfernte, unauthenticated Remote Code Execution (RCE) ermöglicht. Die Sicherheitslücke wurde CVE-2024-6387 zugeordnet.

Unauthenticated RCE auf Linux-Systemen entdeckt

Diese Sicherheitslücke basiert auf CVE-2006-5051, einer früheren Sicherheitslücke, die 2006 gemeldet wurde. Sie wurde gepatcht, ist aber im Jahr 2020 wieder aufgetaucht.

Betroffene OpenSSH-Versionen

  • OpenSSH-Versionen vor 4.4p1 sind für diese Signalhandler-Race-Condition anfällig, sofern sie nicht für CVE-2006-5051 und CVE-2008-4109 gepatcht sind.
  • Versionen von 4.4p1 bis 8.5p1 sind aufgrund eines transformativen Patches für CVE-2006-5051, der eine zuvor unsichere Funktion sicher machte, nicht anfällig.
  • Die Verwundbarkeit taucht in den Versionen von 8.5p1 bis einschließlich 9.8p1 wieder auf, aufgrund des versehentlichen Ausschlusses einer kritischen Komponente in einer Funktion.

OpenBSD-Systeme sind von diesem Fehler nicht betroffen, da OpenBSD im Jahr 2001 einen sicheren Mechanismus entwickelt hat, um diese Verwundbarkeit zu verhindern.

Schutz vor Angriffen auf OpenSSH-Schwachstellen

Wenn die Schwachstelle ausgenutzt wird, könnte dies zu einer vollständigen Kompromittierung des Systems führen. Angreifer könnten einen willkürlichen Code mit den höchsten Privilegien ausführen, sich im Netzwerk ausbreiten und Daten entwenden. Die Erlangung der höchsten Privilegien könnte es den Angreifern ermöglichen, kritische Sicherheitsmechanismen zu umgehen.

FAQ von Qualys: Benutzer können aus zwei Update-Optionen wählen. Eine erste Option ist ein Upgrade auf die neueste Version, die am Montag, den 1. Juli 2024 veröffentlicht wurde (9.8p1). Eine zweite Option ist, die Anwendung eines Fixes auf ältere Versionen zurücksetzen. Diesen Ansatz werden die meisten Hersteller wählen.

Was sollten Sie jetzt tun?

InfoGuard empfiehlt dringend, die Version des/der laufenden SSH-Server(s) zu überprüfen und so bald wie möglich ein Upgrade durchzuführen. Wenn ein Upgrade nicht möglich ist, prüfen Sie die unten beschriebenen Mitigationen. Zum jetzigen Zeitpunkt ist kein öffentlicher Exploit-Code verfügbar, dies könnte sich jedoch in den nächsten Tagen ändern.

  • Patch einspielen
  • SSH-Zugriff von extern einschränken
  • Netzwerksegmentierung, Intrusion Detection
  • Fail2ban als schneller Workaround
  • Setzen der LoginGraceTime auf 0 in der SSH-Konfiguration. Diese Konfiguration schützt nicht vor «Denial of Service»-Angriffen, jedoch ist keine Remote Code Execution mehr möglich.

Wir unterstützen Sie mit einem eVUMA-Service

Mit dem eVUMA-Service von InfoGuard sehen Sie Ihr Unternehmen aus Sicht der Angreifer. Dazu scannen unsere Security-Expert*innen Ihre Perimeter-Infrastruktur täglich aus unserem ISO/IEC 27001-zertifizierten Cyber Defence Center (CDC) in Baar.

Innerhalb dieses Dienstes übernehmen wir die volle Verantwortung für die ersten Schritte – vom täglichen Scan bis zum Reporting – des Vulnerability-Management-Prozesses. Sobald eine kritische Schwachstelle auftaucht, die gegenüber dem Internet exponiert ist, kümmern wir uns um die Risikoeinschätzung der Schwachstelle und kontaktieren Sie proaktiv. Bei Bedarf stehen unsere Expert*innen Ihnen anschliessend beratend zur Verfügung, sodass Sie die Schwachstelle rasch und effektiv beheben können.

Ihr Vorteil: Bei neuen hohen oder kritischen Schwachstellen in Ihrer exponierten Infrastruktur wird die Reaktions- und Informationszeit stark verkürzt. So können die Systemverantwortlichen oder CISOs schnellstmöglich auf die Bedrohung reagieren, ohne selber die externe Infrastruktur 24x7 zu überwachen.

Interessiert? Nehmen Sie noch heute Kontakt auf für eine individuelle Beratung. Wir sind gerne für Sie da!

Kontaktaufnahme eVUMA

 

Artikel teilen