OpenSSH-Sicherheitslücke ermöglicht Root-Code-Ausführung : RegreSSHion (CVE-2024-6387) betrifft Millionen von Servern
Die OpenSSH-Maintainer haben wichtige Sicherheitsupdates veröffentlicht, um einen kritischen Fehler zu beheben, der in glibc-basierten Linux-Systemen auftritt. Dieser Sicherheitsfehler könnte es Angreifern ermöglichen, unautorisierte Remotecodeausführung (RCE) mit Root-Rechten durchzuführen, was die Integrität und Sicherheit der betroffenen Systeme ernsthaft gefährdet.
Die schwerwiegende OpenSSH-Sicherheitslücke trägt den Namen regreSSHion. Sie wird unter der CVE-Kennung CVE-2024-6387 geführt und betrifft die OpenSSH-Serverkomponente (sshd). Dort ermöglicht sie unauthentifizierte Remote-Code-Ausführung (RCE) mit Root-Rechten auf glibc-basierten Linux-Systemen.
Laut Bharat Jogi, Senior Director der Threat Research Unit bei Qualys, handelt es sich um eine Signalhandler-Race-Condition im OpenSSH-Server (sshd), die in der Standardkonfiguration von sshd auftritt. Qualys identifizierte 14 Millionen potenziell verwundbare OpenSSH-Serverinstanzen, die mit dem Internet verbunden sind. Der Fehler stellt eine Regression eines bereits vor 18 Jahren gepatchten Problems dar, das als CVE-2006-5051 bekannt ist und im Oktober 2020 mit OpenSSH Version 8.5p1 erneut eingeführt wurde.
OpenSSH bestätigte, dass eine erfolgreiche Ausnutzung auf 32-Bit-Linux/Glibc-Systemen mit Adressraum-Layout-Randomisierung (ASLR) demonstriert wurde. Unter Laborbedingungen benötigt der Angriff im Durchschnitt 6-8 Stunden ununterbrochener Verbindungen.
Die Sicherheitslücke betrifft OpenSSH-Versionen zwischen 8.5p1 und 9.7p1. Ältere Versionen vor 4.4p1 sind ebenfalls anfällig, sofern sie nicht für CVE-2006-5051 und CVE-2008-4109 gepatcht sind. OpenBSD-Systeme sind aufgrund eines spezifischen Sicherheitsmechanismus nicht betroffen.
Es ist wahrscheinlich, dass die Sicherheitslücke auch macOS und Windows betrifft, obwohl die Ausnutzbarkeit auf diesen Plattformen noch unbestätigt ist und weitere Analysen erfordert. Qualys fand heraus, dass der SIGALRM-Handler von sshd asynchron auf eine Weise aufgerufen wird, die nicht async-signal-sicher ist, wenn sich ein Client nicht innerhalb von 120 Sekunden authentifiziert (definiert durch LoginGraceTime).
Die Ausnutzung von CVE-2024-6387 führt zu einer vollständigen Systemkompromittierung und ermöglicht es Angreifern, beliebigen Code mit höchsten Privilegien auszuführen, Sicherheitsmechanismen zu umgehen, Daten zu stehlen und dauerhaften Zugriff zu erhalten.
„Eine einmal behobene Schwachstelle ist in einer nachfolgenden Softwareversion wieder aufgetaucht. Das passiert gelegentlich und meist sind es spätere Änderungen oder Updates, die das Problem versehentlich wieder einführen“, erklärt Bharat Jogi. „Dieser Vorfall zeigt, wie wichtig gründliche Regressionstests sind, um zu verhindern, dass bekannte Schwachstellen erneut in die Umgebung eingeschleust werden.“
Obwohl die Schwachstelle aufgrund ihrer Natur als Remote-Race-Condition erhebliche Hürden für eine Ausnutzung aufweist, wird den Benutzern dringend empfohlen, die neuesten Updates zu installieren, um sich vor möglichen Bedrohungen zu schützen. Außerdem sollten sie den SSH-Zugang durch netzwerkbasierte Kontrollen einschränken und eine Netzwerksegmentierung durchführen, um unbefugten Zugriff und seitliche Bewegungen zu verhindern.
Die Cybersecurity-Firmen Palo Alto Networks Unit 42 und Wiz haben zwischenzeitlich erklärt, dass es unwahrscheinlich ist, dass die Schwachstelle auf breiter Basis oder opportunistisch ausgenutzt wird. Ein Angreifer muss im Voraus wissen, auf welche Linux-Distribution er abzielt, um einen funktionierenden Exploit zu entwickeln.
Ein weiterer Faktor, der eine massenhafte Ausnutzung verhindert, ist die Tatsache, dass der Angriff bis zu acht Stunden dauern kann und bis zu 10.000 Authentifizierungsschritte erfordert, wie Kaspersky betont. Dennoch schließen die Experten die Möglichkeit einer sehr gezielten Ausnutzung nicht aus.
Auch Oligo gibt Entwarnung, was eine massenhafte Ausnutzung betrifft: „Die spezifische Natur der Race Condition und ihre Ausnutzung erfordern eine beträchtliche Anzahl von Versuchen, um eine erfolgreiche Ausführung zu erreichen, mit unterschiedlichen Erfolgsquoten je nach Version und Umgebung“.
Weitere Artikel zum Thema: