News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

QXARE · 3. Juli 2024

Simanova schrieb:
Es geht um Server, weniger um Client Systeme.

Das ist ja gleich noch schlimmer!!! 😱

Tja, es gibt halt nicht das eine sicherere System, manche werdens aber leider auch nie einsehen...

areiland · 3. Juli 2024

Hamburg schrieb:
Der Open SSH Client ist auch per default als optionales Feature in Windows 11 (Home) installiert.

Laut News betrifft diese Lücke aber OpenSSH Server, nicht den Clienten. Und für mich bedeutet das, dass ich meinen Raspi mit Octoprint überprüfen muss. Auch wenn der nicht von aussen zugänglich ist, sicher ist einfach sicher.

JustAnotherTux · 3. Juli 2024

nutrix schrieb:
Belege? Schau Dir bitte mal die gemeldeten CVEs an, da kommt man zu einem anderen Schluß.

Viele CVEs sind kein Beleg dafür das etwas weniger sicher ist.

FOSS wird viel mehr untersucht als closed source einfach weil es sich besser untersuchen lässt.

Von daher halte ich die Frequenz und die Anzahl der gefundenen CVEs nicht für einen Beleg dafür, das Software A weniger sicher ist als Software B mit weniger CVEs.

Vermutlich hat auch FreeBSD weniger CVEs als Linux aber auch das bedeutet nicht viel schließlich wird FreeBSD auch deutlich weniger verwendet.

fdsonne · 3. Juli 2024

Helge01 schrieb:
Shodan scannt nicht nur die Standardports wie in dem Artikel beschrieben, sondern so gut wie alles.
Kleiner Auszug der letzten Stunde von Scannern, die gerade bei mir an meinem Anschluss einen Portscan genau zu diesem Zweck machen.

Also "so gut wie alles" ist aber auch übertrieben.
In deinem Auszug von einer Stunde mit zwei Händen voll Ports und dann noch von verschiedenen Sources, die vom Namen her nix miteinander zu tun haben...
Bei angenommen 10 Ports pro Stunde und IP sind das 272 Tage um einmal die ganze 655xx Portrange zu scannen. Pro IP! Wir haben bspw. pro Standort mehrere 24Bit v4 Netze. Bei /22 wären das 763 Jahre für die 1024 IPs.

So läuft das in aller Regel nicht. Was meistens gescannt wird sind standard Ports bzw. known Ports. Also bekannte Dienste mit ihren genutzten Ports. Darunter auch sowas wie 8080, 8443, 8888 oder andere HighPorts. Nen Fullscan, wo Jemand wirklich die ganze Latte durchscannt finde ich bei mir in den Logs in aller Regel nicht. Das kommt vereinzelt mal in abgeschwächter Form vor, aber selbst dann nicht voll.

blackiwid schrieb:
Ist halt nun mal die Wahrheit, teil der Sicherheit ist eben auch wie lange muss man auf Patches warten... und die Wartezeit ist in Windows höher... dazu muss man MS unterstellen das sie mit Absicht Hintertüren für die Geheimdienste einbauen.

Das würde bedeuten, du gewichtest die Wartezeit auf Patches über alle anderen Paramenter. MMn ist das vom Ansatz her Kokolores.
Es mag ein Teil der Thematik sein, aber bei weitem keine wirklich hoch gewichtete. Es spielt keine Rolle wie lange es dauert, bis Patches released werden. Sondern es spielt nur eine Rolle, wie lange ein potentieller Angreifer von einer Lücke wusste und die Seite, die Patches liefert, es nicht tat.

blackiwid schrieb:
Niemand behauptet Linux sei absolut sicher und Windows absolut unsicher, aber im Vergleich gewinnt Linux das ist nun mal ein Fakt.

Nö, das ist auch quatsch. Man kann die zwei Dinge nicht miteinander vergleichen. Vor allem da in so einem Einzeiler schlicht keinerlei Dinge definiert sind und die Basis out of the Box drastisch unterschiedlich ist.
Was definiert hier "sicher"? Sicher in was? Sicher bei was? Sicher vor was? In aller erster Line hängt Sicherheit von der durch den User gemachten Konfiguration ab. Streiten kann man sich sicher über default Settings. Aber wenn man ehrlich ist - Unwissenheit schützt vor Strafe nicht. Das gilt auch für IT.

up.whatever schrieb:
Bei IPv4 wird alles gescannt, da kannst du nichts verstecken. Wenn du dich vor Scans verbergen möchtest, bist du mit einer gut gewählten IPv6 Adresse deutlich besser versteckt, als mit IPv4 und einem hohen Port.

Nicht wird. Es kann alles gescannt werden. Aber wirklich häufig kommt das bspw. nicht vor.

Kleiner Vergleich. Ich hab gerade mal für den Monat Juni 2024 geschaut was auf einem unserer Mail Gateways im Log auftaucht. Absichtlich dieses, weil die IP im Netz bekannt ist und gerade auch die Maildomain überall zu finden ist, was mit uns zu tun hat. Sprich die IP ist für jeden der nur paar Sekunden investiert, findbar.

1002 dstport="3306"
1097 dstport="8088"
1135 dstport="8291"
1148 dstport="8888"
1198 dstport="8443"
1244 dstport="7547"
1683 dstport="995"
1829 dstport="53"
1845 dstport="143"
1929 dstport="139"
1931 dstport="993"
2161 dstport="2222"
2292 dstport="1433"
2541 dstport="8080"
2606 dstport="8081"
3292 dstport="3389"
3683 dstport="22"
3807 dstport="6379"
4090 dstport="110"
4615 dstport="443"
4683 dstport="445"
5473 dstport="80"
6068 dstport="8728"
17125 dstport="23"

Das ist Aufsteigend sortiert die Anzahl der FW Hits auf der einen IP.
Im ganzen Monat lag der total uniq Hitcount bei 50770 (von 65535) Dabei sind lediglich 24 Ports bei größer 1000 Hits. In Summe 78477 von in Summe 318154 totalen Hits. Was fast ein viertel ist.
Heißt - ein viertel der Scanversuche dieses Monats geht auf 24 Ports.

metoer schrieb:
@Helge01
Ja gut, aber das verschlingt doch unmengen an Ressourcen oder? Ein Angreifer müsste mich (meine IP) hier gezielt attackieren, und bei einem Dienst wie Shodan gegen Geld meine IP abfragen, warum sollte er das machen?

Ja entweder gezielt oder halt über Umwege. Was halt oft versucht wird sind known Angriffsvektoren. Es gibt eine Menge dieser Scan Maschinen, die dann eben die Daten speichern und wo sich im Zweifel Angreifer von bedienen.
Ansich ist der Ressourcenbedarf relativ überschaubar. Kommt halt drauf an, was man am Ende wirklich machen möchte. Das passiert beim Scan eh gestaffelt. Also erst relativ "seicht" schauen ob überhaupt was antwortet. Also prüfen ist die IP erreichbar. Wenn ja, wird geschaut welche Ports. In manchen Fällen geht es dann halt auch tiefer hinein.

nutrix schrieb:
Ich behaupte, jedes System ist nur so sicher, wie gut der Anwender oder die Umgebung ist, die das pflegen.

Dem ist so. Siehe oben, man kann sicher über default Settings streiten. Aber am Ende ist das kein echter Garant für Sicherheit, weil man eben im Zweifel die Settings entsprechend eindreht und gut ist.

JustAnotherTux schrieb:
Vermutlich hat auch FreeBSD weniger CVEs als Linux aber auch das bedeutet nicht viel schließlich wird FreeBSD auch deutlich weniger verwendet.

Und noch weiter gedacht - je nachdem was gemeldet wird, handelt es sich dabei um Module/Zusatzkomponenten, die man natürlich auch erstmal nutzen muss.
Ein Vergleich zu Windows ist dabei sogar auch relativ schwer, weil sich der Umfang unterscheidet. Ist eine Lücke in Notepad jetzt eine Lücke in Windows? Oder nicht? Weil in Linux wäre vi, vim oder nano eben nicht Linux.

maxpayne80 · 3. Juli 2024

Y-Chromosome schrieb:
1) As root user, open the /etc/ssh/sshd_config
2) Add or edit the parameter configuration:

Code:

LoginGraceTime 0

3) Save and close the file
4) Restart the sshd daemon:

Code:

systemctl restart sshd.service

Kurze Frage dazu:

setzt man es auf 0 dann kann man sich praktisch nicht mehr per SSH einloggen, weil das Zeitfenster zwischen Verbindungsaufbau und erfolgreicher Authentifizierung auf 0 gesetzt wird?

Ich vermute etwas zu übersehen, aber bisher keine eindeutigen Informationen gefunden

Donnidonis · 3. Juli 2024

metoer schrieb:
@Helge01
Ja gut, aber das verschlingt doch unmengen an Ressourcen oder? Ein Angreifer müsste mich (meine IP) hier gezielt attackieren, und bei einem Dienst wie Shodan gegen Geld meine IP abfragen, warum sollte er das machen?

Er lässt sich eine Liste geben mit allen offenen SSH Ports und geht sie durch, wenn du dabei bist, hast Pech gehabt.

homer0815 · 3. Juli 2024

@Donnidonis Oder einfach nmap starten und die Telekom IP-Range nach 22 TCP abscannen.

Die Racecondition braucht wohl auf 32bit an die 8h bis sie zum Erfolg führt. Bei 64bit eine Woche. Zumindest die 64bit Server sollten bis dahin bei einem seriösen Betreiber schon gepatcht werden. Wir haben gestern 250 Suse Server gepatcht.

Will damit aber nicht behaupten, das mein Arbeitgeber seriös ist ;-)

Lora · 3. Juli 2024

Problem wurde schon vor den News erledigt. Danke trotzdem 👍

lynx007 · 3. Juli 2024

Y-Chromosome schrieb:
Es wäre schön, wenn Ihr bitte für RHEL basierte Distros noch folgenden Guide auflisten würdet:

https://access.redhat.com/security/cve/cve-2024-6387

Grundsätzliche Abhilfe, wenn kein Patch vorhanden ist:

1) As root user, open the /etc/ssh/sshd_config
2) Add or edit the parameter configuration:

Code:

LoginGraceTime 0

3) Save and close the file
4) Restart the sshd daemon:

Code:

systemctl restart sshd.service

warum funktioniert das nur bei RHEL?

Termy · 3. Juli 2024

JustAnotherTux schrieb:
Von daher halte ich die Frequenz und die Anzahl der gefundenen CVEs nicht für einen Beleg dafür, das Software A weniger sicher ist als Software B mit weniger CVEs.

Das absolut nicht - alleine, weil MS z.b. sicher sehr viele gefundene Lücken gar nicht public macht, sondern still und leise patched.

Was in Bezug auf CVEs aber eine Aussagekraft hat ist, wie damit umgegangen wird. Also Dinge wie Reaktionsgeschwindigkeit, Patch-Verfügbarkeit und -Qualität, Kommunikation usw.
Und in der Hinsicht gibt es leider oftmals kaum schlechtere Beispiele als MS.

lynx007 · 3. Juli 2024

das stand mist...

Pampersbomber · 3. Juli 2024

Bestätigt meine Vorsicht, keinen SSH Port Richtung Internet aufzumachen.
Bei einer meiner Cloud VMs ist daher SSH nur über eine Wireguard Verbindung möglich.

lynx007 · 3. Juli 2024

mike78sbg schrieb:
Ja, das ist eben die Frage. Per SSH Key Anmeldung wird die Verbindung in der Regel sofort zurückgewiesen. Ob daher dieses Anmeldeverfahren vom Server überhaupt durchgeführt wird ist die Frage.

Das soll 'nen Race Conditions Problem bei der Authentifizierung sein! Sprich deine Tür bugt, weil der Einbrecher gleichzeitig die "klingel" und die "klinge" drückt...., und zwar im exakt falschen Moment und Reihenfolge, dadurch wird das Schloss überschrieben, mit dem Code vom Angreifer". Zumindest in der Theorie …

https://www.qualys.com/2024/07/01/cve-2024-6387/regresshion.txt

Alles andere kommt danach! Wie ein SNES Glitch, wo 2 Tasten gleichzeitig drückt, und dann durch die wand, fällst! Der eine Prozesse überschreibt den anderen, weil Sie zeitgleich, oder in einem Zeitfenster simultan passieren! Tür ist offen.... ! Da bringt dein Key nichts.... den für 'nen Key brauchst du 'nen Schloss.... aber wen das weg ist …

Ganz ins Detail habe ich mich noch nicht eingelesen … Nur wen das Schloss überschreibe, dann bringt dein bester schlüssel nichts! Und wen man sich dann das Rating und die Vektoren ansieht.... das Ding hat sich ohne Grund eine 8.9 ! Aber es ist auch nicht 10, und nicht einfach umsetztbar... es darf nicht BSD, nicht 64 bit sein und noch kein Update haben.... und dauert son angriff gute 4-8 std. ...

"
CVE-2024-6387 DetailAwaiting AnalysisThis vulnerability is currently awaiting analysis.DescriptionA security regression (CVE-2006-5051) was discovered in OpenSSH's server (sshd). There is a race condition which can lead to sshd to handle some signals in an unsafe manner. An unauthenticated, remote attacker may be able to trigger it by failing to authenticate within a set time period.Metrics NVD enrichment efforts reference publicly available information to associate vector strings. CVSS information contributed by other sources is also displayed.CVSS 3.x Severity and Vector Strings:NIST CVSS scoreNIST: NVDBase Score: N/ANVD assessment not yet provided.Nist CVSS score does not match with CNA scoreCNA: Red Hat, Inc.Base Score: 8.1 HIGHVector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H"

"

Wichtige Details:

Betroffene Software: OpenSSH's Server (sshd)

Typ: Race Condition

Angriffsvektor: Remote, ohne Authentifizierung

Schweregrad: Hoch

CVSS-Basiswert: 8.1 (Bewertung von Red Hat, Inc.)

CVSS-Vektor: CVSS:3.1/AV

/AC

/PR

/UI

/S

/C

/I

/A"

"

CVSS:3.1
Dies gibt an, dass die Bewertung nach der Version 3.1 des Common Vulnerability Scoring System (CVSS) vorgenommen wurde.

AV (Attack Vector): N (Network)
Der Angriff kann aus der Ferne über das Netzwerk durchgeführt werden. Der Angreifer muss sich nicht physisch in der Nähe des Zielsystems befinden.

AC (Attack Complexity): H (High)
Die Komplexität des Angriffs ist hoch. Dies bedeutet, dass der Angreifer spezielle Bedingungen erfüllen oder besondere Fähigkeiten besitzen muss, um den Angriff erfolgreich durchzuführen.

PR (Privileges Required): N (None)
Der Angreifer benötigt keine speziellen Privilegien oder Berechtigungen auf dem Zielsystem, um die Schwachstelle auszunutzen. Jeder kann den Angriff versuchen.

UI (User Interaction): N (None)
Für den Angriff ist keine Interaktion eines Benutzers erforderlich. Der Angreifer kann die Schwachstelle ausnutzen, ohne dass ein Benutzer eingreifen muss.

S (Scope): U (Unchanged)
Der Angriff bleibt innerhalb derselben Sicherheitsgrenze. Das bedeutet, dass ein erfolgreicher Angriff keine Auswirkung auf andere Sicherheitsbereiche hat.

C (Confidentiality): H (High)
Die Ausnutzung der Schwachstelle hat eine hohe Auswirkung auf die Vertraulichkeit. Sensible Informationen können kompromittiert werden.

I (Integrity): H (High)
Die Ausnutzung der Schwachstelle hat eine hohe Auswirkung auf die Integrität. Daten können manipuliert oder verändert werden.

A (Availability): H (High)
Die Ausnutzung der Schwachstelle hat eine hohe Auswirkung auf die Verfügbarkeit. Das System kann zum Absturz gebracht oder unbrauchbar gemacht werden.

Zusammenfassung
Der CVSS-Vektor beschreibt eine schwerwiegende Schwachstelle, die aus der Ferne ohne besondere Berechtigungen und ohne Benutzerinteraktion ausgenutzt werden kann. Die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit des Systems sind hoch, was die Dringlichkeit zur Behebung dieser Schwachstelle unterstreicht."

https://blog.qualys.com/vulnerabili...ode-execution-vulnerability-in-openssh-server

Ergänzung (3. Juli 2024)

Pampersbomber schrieb:
Bestätigt meine Vorsicht, keinen SSH Port Richtung Internet aufzumachen.
Bei einer meiner Cloud VMs ist daher SSH nur über eine Wireguard Verbindung möglich.

Oder du machst hatl den fix... du brauchst ja nur in die config gehen scheinbar...

Boimler · 3. Juli 2024

Ich habe jetzt nicht alle Kommentare gelesen, aber im Artikel wird nicht so ganz erklärt, warum die Lücke wieder aufgetaucht ist. Wie ist es eigentlich möglich, ein gepatches Problem wieder einzuführen? Den ursprünglichen Code hat man ja wahrscheinlich nicht wieder reingeschrieben.

Pampersbomber · 3. Juli 2024

lynx007 schrieb:
Oder du machst hatl den fix... du brauchst ja nur in die config gehen scheinbar...

Und dann warte ich auf die nächste Schwachstelle. Nope, da bleibe ich lieber bei SSH via Wireguard (mit PSK).

Zugegebenermaßen könnte Wireguard auch Schwachstellen haben. Aber weil der Code auf wenige Seiten Papier passen würde, vertraue ich darauf, dass die Angriffsfläche immer kleiner sein wird, als die eines Featuremonsters wie OpenSSH.

areiland · 3. Juli 2024

Mein Octopi ist auf der SSH 7.6 und bewegt sich ohnehin nicht ausserhalb des Heimnetzes. Von daher muss ich mir derzeit keine Gedanken machen.

eastcoast_pete · 4. Juli 2024

nutrix schrieb:
Wie war das nochmal mit der Behauptung "Linux sei per se sicherer"?

Man muß sich nur mal täglich die CVE Meldungen für reinziehen, da wird es einem ganz anders.

Per se ist kein System, das von außen zugänglich ist, sicher. Bei Linux sind schwerwiegende Angriffe zwar selten, dafür aber potentiell besonders lohnend, da die große Mehrheit der Server mit der einen oder anderen Version von Linux unterwegs ist. Holzauge sei wachsam ist nie verkehrt, egal welches OS man nutzt.

Data_x33 · 4. Juli 2024

maxpayne80 schrieb:
setzt man es auf 0 dann kann man sich praktisch nicht mehr per SSH einloggen, weil das Zeitfenster zwischen Verbindungsaufbau und erfolgreicher Authentifizierung auf 0 gesetzt wird?

Richtig. Mit der Option bleibt überhaupt keine Zeit, sich anzumelden. Wie soll man sich denn damit anmelden können? Vielleicht kann ja der Tippgeber mehr dazu sagen.

Keylan · 4. Juli 2024

@GFdeb12 @maxpayne80 Wie bei nahezu jeder Statusvariable die ein Limit definiert bedeutet 0, das kein Limit gilt. In dem Fall lässt sich der Exploit nicht mehr ausnutzen, da dieser ja grade versucht beim Timeout des Verbindungsaufbaus einen bestimmen Memory-Overflow zu erzeugen.
Die bisherigen Infos kamen im Kontext eines 2 Minuten Timeouts auf einem 32-Bit System. Bei 64-Bit Systemen ist die Wahrscheinlichkeit den erwünschten Overflow zu erzeugen massiv geringer und bei längerem Timeout erhöht sich der Zeitaufwand je Verbindungsversuch linear zum Timeout.

Genau konnte das unter den Laborbedingungen noch gar nicht mit so einem System nachgestellt werden (nur auf 32-Bit in einer VM, also mit optimalen Netzwerkverbindungen). Deshalb die Schätzungen das die Attacken auf 64-Bit Server, oder solche mit längeren Timeouts (600 Sekunden sind nicht unüblich) mehrere Tage bis Wochen dauern würden um Aussicht auf einen erfolgreichen Zugriff haben.
Relevante Ziele sind damit ohnehin nur dauerhaft vom Internet erreichbare Server, welche auch bekannte offenen SSH Ports haben und keinerlei Maßnahmen um übliche Netzwerkangriffe abzuwehren (z.B. fail2ban).

Schon wenn der Angreifer die Ports nicht kennt, oder um weitere Abwehrmechanismen herum agieren muss vervielfacht sich die notwendige Zeit für einen Angriff schnell zu unrealistischen Werten.

JaeMcBean · 4. Juli 2024

Stecke nicht so tief in der Materie drin, aber sollte nicht z.B. ein korrekt konfiguriertes fail2ban als Schutz ausgereicht haben? Außer der Angreifer verteilt seine Login-Versuche über zig verschiedene IPs.

Muss mich dann glaub ich doch nochmal über weitere security-Mechanismen schlau machen. Port knocking liest sich ja ganz gut.

News regreSSHion: Millionen Linux-Systeme von OpenSSH-Lücke bedroht

Lt. Commander

Admiral

Lt. Commander

Lieutenant

Commander

Donnidonis

Gast

Ensign

Lieutenant

Commodore

Commodore

Commodore

Ensign

Commodore

Wichtige Details:​

CVSS:3.1​

AV (Attack Vector): N (Network)​

AC (Attack Complexity): H (High)​

PR (Privileges Required): N (None)​

UI (User Interaction): N (None)​

S (Scope): U (Unchanged)​

C (Confidentiality): H (High)​

I (Integrity): H (High)​

A (Availability): H (High)​

Zusammenfassung​

Lt. Commander

Ensign

Admiral

Lt. Commander

Data_x33

Gast

Lt. Commander

Lt. Junior Grade

Ähnliche Themen

Passend zum Thema

Wichtige Details:

CVSS:3.1

AV (Attack Vector): N (Network)

AC (Attack Complexity): H (High)

PR (Privileges Required): N (None)

UI (User Interaction): N (None)

S (Scope): U (Unchanged)

C (Confidentiality): H (High)

I (Integrity): H (High)

A (Availability): H (High)

Zusammenfassung