regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

Eine Sicherheitslücke in OpenSSH ermöglicht es nicht authentifizierten Angreifern aus der Ferne Root-Zugriff zu erlangen. Die ursprünglich im Jahr 2006 beseitigte Lücke wurde im Jahr 2020 unbeabsichtigt wieder geöffnet. Über 14 Millionen Systeme im Internet sind potentiell durch „regreSSHion“ gefährdet.

CVE-2006-5051 kehrt als CVE-2024-6387 zurück

Die Hintergrundgeschichte erklärt auch das Wortspiel im Namen der Sicherheitslücke: Regression bedeutet im Englischen unter anderem „Rückschritt“. Konkret gefährdet sind Systeme mit OpenSSH Version 8.5 bis 9.7. OpenBSD gilt als sicher. regresSSHion wird unter CVE-2024-6387 geführt.

Die zugrundeliegende, bereits 2006 beseitigte Lücke CVE-2006-5051 wurde nach beinahe zwei Jahrzehnten im Rahmen von Updates und Änderungen im Oktober 2020 in Version 8.5 von OpenSSH wieder eingeführt.

Entdecker Qualys gibt keine Beispiele zur Ausnutzung der Lücke um Patches genügend Vorlaufzeit zu geben. Die Fachleute betonen, dass es trotz der Komplexität des Exploits anderen unabhängigen Forschern möglich sein wird die Resultate zu wiederholen. Durch Dienste wie Censys und Shodan konnten über 14 Millionen potentiell angreifbare Server-Instanzen mit OpenSSH im Internet identifiziert werden.

OpenSSH ist ein essentielles Werkzeug für das Remote Server Management und den sicheren Datenaustausch. Mit zahlreichen Verschlüsselungsfunktionen ist es Standard auf unixoiden Betriebssystemen wie Linux, macOS und OpenBSD.

Mögliche Auswirkungen von regreSSHion

Bei Ausnutzung der Sicherheitslücke ist es dem Angreifer möglich beliebigen Code mit höchsten Privilegien auszuführen und darüber eine vollständige Systemübernahme, die Installation von Malware, Dateimanipulation oder das Erstellen von Hintertüren für fortwährenden Zugang zu erzielen. Ebenso kann die Lücke genutzt werden um sich in Netzwerken einzunisten und weitere verwundbare Systeme zu übernehmen.

Das Erlangen von Root-Berechtigungen würde es ermöglichen wichtige Sicherheitsmechanismen wie Firewalls, Logging-Mechanismen und Intrusion Detection zu umgehen und generell Spuren zu verwischen.

Hilfsmaßnahmen und Prävention

• Patches sollen schnellstmöglich und mit höchster Priorität eingespielt werden.
• Der SSH-Zugriff sollte eingegrenzt werden um die Angriffsfläche zu minimieren.
• Auftrennung von Netzwerken um unautorisierten Zugang zu begrenzen und Überwachung verdächtiger Aktivitäten.
• Ergreifen von Maßnahmen zur Gefahrenminderung wie in den FAQ von Qualys beschrieben.

Patches in Entwicklung

Die Lücke wurde am 1. Juli 2024 durch Version 9.8 von OpenSSH beseitigt. Damit liegt es nun an den Distributionen die aktualisierte Version zu testen und auszuliefern oder diese entsprechend unabhängig selbst umzusetzen.

Sollte ein Update nicht möglich sein, lässt sich durch das Setzen von LoginGraceTime auf 0 in der Konfigurations-Datei die Schadcode-Ausführung verhindern, macht das System aber verwundbar für Denial-of-Service-Angriffe.

Ein Blick auf die verschiedenen Distributionen offenbart, dass Einige die Lücke bereits durch Updates geschlossen haben oder zumindest aktiv dabei sind das Problem anzugehen. So findet sich in den Paketquellen von Arch Linux die bereits korrigierte Version 9.8. Auch finden sich entsprechende Einträge zur Sicherheitslücke bei Ubuntu, Debian, AlmaLinux, Red Hat.