Website-Suche

Über 14 Millionen Server sind möglicherweise anfällig für den regreSSHion RCE-Fehler von OpenSSH. Folgendes müssen Sie tun


OpenSSH, das Fundament des sicheren Linux-Netzwerkzugriffs, weist eine schwerwiegende Sicherheitslücke auf.

Behalten Sie Ihre SSH-Schlüssel, Leute! Eine kritische Sicherheitslücke hat gerade OpenSSH, die sichere Fernzugriffsgrundlage von Linux, erschüttert und erfahrene Systemadministratoren ins Schwitzen gebracht.

Dieser böse Fehler mit dem Namen „regreSSHion“ und dem Tag CVE-2024-6387 ermöglicht die nicht authentifizierte Remotecodeausführung (RCE) auf OpenSSH-Servern, die auf glibc-basierten Linux-Systemen ausgeführt werden. Wir sprechen hier nicht von einer geringfügigen Privilegienausweitung – dieser Fehler legt den vollständigen Root-Zugriff auf dem Silbertablett nieder.

Für diejenigen, die schon ein paar Mal mit Linux zu tun hatten, fühlt sich das wie ein Déjà-vu an. Die Schwachstelle ist eine Regression von CVE-2006-5051, einem Fehler, der bereits 2006 behoben wurde. Dieser alte Feind hat sich im Oktober 2020 mit OpenSSH 8.5p1 irgendwie wieder in den Code eingeschlichen.

Glücklicherweise hat die Qualys Threat Research Unit dieses digitale Skelett im Schrank von OpenSSH entdeckt. Leider betrifft diese Sicherheitslücke die Standardkonfiguration und erfordert keine Benutzerinteraktion, um sie auszunutzen. Mit anderen Worten: Es handelt sich um eine Schwachstelle, die Sicherheitsexperten schlaflose Nächte bereitet.

Die potenziellen Auswirkungen dieses Fehlers können kaum überbewertet werden. OpenSSH ist der De-facto-Standard für sicheren Fernzugriff und Dateiübertragung in Unix-ähnlichen Systemen, einschließlich Linux und macOS. Es ist das Schweizer Taschenmesser für sichere Kommunikation für Systemadministratoren und Entwickler weltweit.

Die gute Nachricht ist, dass nicht alle Linux-Distributionen über den anfälligen Code verfügen. Alte OpenSSH-Versionen vor 4.4p1 sind anfällig für diese Signalhandler-Race-Condition, es sei denn, sie sind für CVE-2006-5051 und CVE-2008-4109 gepatcht.  

Versionen von 4.4p1 bis einschließlich 8.5p1 sind nicht anfällig. Die schlechte Nachricht ist, dass die Schwachstelle in OpenSSH 8.5p1 bis einschließlich 9.8p1 aufgrund der versehentlichen Entfernung einer kritischen Komponente erneut aufgetaucht ist.

Qualys hat über 14 Millionen potenziell anfällige OpenSSH-Server-Internetinstanzen gefunden. Das Unternehmen geht davon aus, dass etwa 700.000 dieser externen, mit dem Internet verbundenen Instanzen definitiv anfällig sind.

Ein Patch, OpenSSH 9.8/9.8p1, ist jetzt verfügbar. Viele, aber nicht alle Linux-Distributionen haben es verfügbar gemacht. Wenn Sie es bekommen können, installieren Sie es so schnell wie möglich.

Wenn Sie aus irgendeinem Grund keinen Patch installieren können, sollten Sie erwägen, sich vor der regreSSHion-Sicherheitslücke zu schützen, indem Sie LoginGraceTime in der sshd-Konfigurationsdatei auf 0 setzen (standardmäßig ist diese Datei /etc/ssh/sshd_config). Diese Einstellung ist keine perfekte Lösung; Es verhindert Exploits, setzt Ihre Systeme jedoch potenziellen Denial-of-Service-Angriffen (DoS) aus.

Stellen Sie daher sicher, dass Sie den SSH-Zugriff auf Ihren Server mithilfe netzwerkbasierter Kontrollen einschränken, um potenzielle Angriffsvektoren einzuschränken. Da diese Art von Angriff sehr aufwändig ist, sollten Sie Ihre Firewall und Netzwerküberwachungstools so konfigurieren, dass sie die große Anzahl von Verbindungen erkennen und blockieren, die zum Ausnutzen dieser Schwachstelle erforderlich sind.

Halten Sie schließlich Ausschau nach den OpenSSH-Patches. Sie werden in Kürze erscheinen. Wenn sie verfügbar sind, wenden Sie die Patches so schnell wie möglich an.

Durch die Umsetzung dieser Maßnahmen können Sie die Gefährdung durch die regreSSHion-Sicherheitslücke erheblich reduzieren – und Sie werden es nicht bereuen.