OpenSSH RCE Schwachstelle CVE-2024-6387

OpenSSH RCE Schwachstelle

Überblick

Die OpenSSH RCE Schwachstelle, bekannt als “regreSSHion” (CVE-2024-6387), stellt eine beunruhigende Bedrohung für Millionen von Systemen weltweit dar. Diese Sicherheitslücke, die von der Qualys Threat Research Unit entdeckt wurde, ist eine Race-Condition im Signal-Handler des OpenSSH-Servers (sshd) auf glibc-basierten Linux-Systemen. Sie ermöglicht unauthentifizierte Remote-Code-Ausführung (RCE) mit Root-Rechten, was sie zu einem schwerwiegenden Problem Millionen Systeme weltweit macht.

Exkurs: glibc-basierte Linux-Systeme

“glibc” steht für die GNU C Library, die grundlegende Bibliothek für die meisten Linux-Distributionen. Sie bietet die grundlegenden Funktionen und Systemaufrufe, die für den Betrieb von Linux-Anwendungen erforderlich sind. Ein glibc-basiertes Linux-System verwendet diese Bibliothek als zentrale Komponente seines Betriebssystems. Bekannte Distributionen, die auf glibc basieren, sind unter anderem Ubuntu, Fedora, Debian und CentOS.

Was ist OpenSSH?

OpenSSH ist eine weit verbreitete Suite sicherer Netzwerkdienste, die auf dem SSH-Protokoll basieren. Sie bietet robuste Verschlüsselung, sichere Dateiübertragungen und Remote-Server-Management. OpenSSH ist ein integraler Bestandteil der Sicherheitsinfrastruktur vieler Organisationen, was Sicherheitslücken in diesem System besonders besorgniserregend macht.

Details zur OpenSSH RCE Schwachstelle CVE-2024-6387

Die regreSSHion-Sicherheitslücke resultiert aus einer Race-Condition im Signal-Handler der sshd-Komponente von OpenSSH. Wenn sich ein Client innerhalb der festgelegten LoginGraceTime (standardmäßig 120 Sekunden) nicht authentifiziert, wird der SIGALRM-Handler asynchron aufgerufen. Dieser Handler ruft verschiedene Funktionen auf, die nicht für asynchrone Signal-Kontexte sicher sind, was zu potenzieller Remote-Code-Ausführung als Root führt. Die Ausnutzung dieser Sicherheitslücke erfordert in der Regel präzises Timing und mehrere Versuche, was sie zu einer komplexen, aber potenziell sehr gefährlichen Bedrohung macht.

Exkurs: Race-Condition

Eine Race-Condition tritt auf, wenn das Ergebnis eines Prozesses von der zeitlichen Reihenfolge abhängt, in der bestimmte Ereignisse eintreten. In einem Computerkontext kann dies dazu führen, dass zwei oder mehr Prozesse auf eine Weise interagieren, die zu unerwarteten Ergebnissen führt, insbesondere wenn sie gleichzeitig auf gemeinsame Ressourcen zugreifen. Ein bekanntes Beispiel für eine Race-Condition in der IT-Sicherheit ist der TOCTOU-Angriff (Time of Check to Time of Use), bei dem ein Angreifer eine Sicherheitsprüfung zwischen der Überprüfung und der Nutzung eines Ressourcenobjekts manipuliert.

OpenSSH RCE Schwachstelle CVE-2024-6387 – CVSS Base Score und Erläuterung

Die Sicherheitslücke CVE-2024-6387 hat einen CVSS (in diesem Artikel wird CVSS erläutert – Was ist CVSS) Base Score von 8.1. Dieser Score wird durch mehrere Faktoren bestimmt, die die Schwere der Schwachstelle bewerten:

  1. Angriffsvektor (AV): Netzwerk (N) – Die Schwachstelle kann über das Netzwerk ausgenutzt werden, was die Angreifbarkeit erhöht.
  2. Angriffs-Komplexität (AC): Hoch (H) – Die Ausnutzung der Schwachstelle erfordert präzises Timing und mehrere Versuche, was die Komplexität erhöht.
  3. Rechteerweiterung (PR): Keine (N) – Der Angreifer benötigt keine speziellen Rechte oder Berechtigungen, um die Schwachstelle auszunutzen.
  4. Benutzerinteraktion (UI): Keine (N) – Die Ausnutzung erfordert keine Interaktion von einem Benutzer.
  5. Auswirkungen auf Vertraulichkeit (C): Hoch (H) – Ein erfolgreicher Angriff führt zu einem vollständigen Verlust der Vertraulichkeit.
  6. Auswirkungen auf Integrität (I): Hoch (H) – Ein erfolgreicher Angriff führt zu einem vollständigen Verlust der Integrität.
  7. Auswirkungen auf Verfügbarkeit (A): Hoch (H) – Ein erfolgreicher Angriff führt zu einem vollständigen Verlust der Verfügbarkeit.

Erläuterung zum CVSS Base Score der OpenSSH RCE Schwachstelle CVE-2024-6387

Der CVSS Base Score von 8.1 zeigt, dass diese Schwachstelle als hochgradig schwerwiegend eingestuft wird. Obwohl die Ausnutzung der Schwachstelle aufgrund der hohen Angriffs-Komplexität (AC) nicht trivial ist, macht der Mangel an erforderlichen Rechten (PR) und Benutzerinteraktion (UI) sie zu einer attraktiven Zielscheibe für Angreifer. Die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit sind ebenfalls hoch, was bedeutet, dass ein erfolgreicher Angriff schwerwiegende Konsequenzen für das betroffene System haben kann.

Weitere Informationen bietet die National Vulnerability Database (NVD).

Betroffene Versionen

Die Sicherheitslücke betrifft OpenSSH-Versionen von 8.5p1 bis 9.7p1 sowie Versionen älter als 4.4p1, falls diese nicht für CVE-2006-5051 und CVE-2008-4109 gepatcht wurden. OpenBSD-Systeme sind aufgrund eines speziellen Sicherheitsmechanismus, der im Jahr 2001 eingeführt wurde, nicht betroffen.

Auswirkungen und Ausnutzung

Erfolgreiche Ausnutzung dieser Sicherheitslücke kann zur vollständigen Kompromittierung des Systems führen. Angreifer können Malware installieren, sensible Daten exfiltrieren und persistente Hintertüren schaffen. Forscher haben über 14 Millionen potenziell gefährdete OpenSSH-Instanzen identifiziert, die dem Internet ausgesetzt sind, mit 700.000 bestätigten Fällen laut Qualys-Daten​​​​.

OpenSSH RCE Schwachstelle – Vergleich mit anderen Schwachstellen

Während regreSSHion eine ernsthafte Bedrohung darstellt, wird sie oft mit der Log4Shell-Sicherheitslücke (CVE-2021-44228) verglichen. Log4Shell war aufgrund seiner breiteren Reichweite und einfacheren Ausnutzung weitaus kritischer. Es betraf zahlreiche Anwendungen und Dienste, die die Apache Log4j-Bibliothek verwenden, und führte zu sofortiger und weit verbreiteter bösartiger Aktivität. Im Gegensatz dazu zielt regreSSHion auf spezifische OpenSSH-Serverinstanzen auf glibc-basierten Linux-Systemen ab und erfordert komplexe Ausnutzungsversuche​​.

Indikatoren für Kompromittierungen (IOCs) – Potenzielle Anzeichen für Ausnutzung

Klare und offen kommunizierte IOCs wurden bislang nicht kommuniziert. Folgende allgemeine Indikatoren, können jedoch auf verdächtige Aktivitäten hinweisen:

  • Ungewöhnliche SSH-Anmeldeversuche
    • Ein Anstieg fehlgeschlagener SSH-Anmeldeversuche, insbesondere von unbekannten IP-Adressen, könnte eine Untersuchung rechtfertigen. Sie können Exploit-Versuche für diese Schwachstelle identifizieren, indem Sie die Protokolle auf zahlreiche “Timeout vor der Authentifizierung”-Zeilen überprüfen. Beispiel Log-Eintrag:
      • sshd[132456]: fatal: Timeout before authentication for 198.51.100.23 port 41022
  • Unerwartete Prozesse
    • Das Vorhandensein von nicht autorisierten oder unbekannten Prozessen, die auf dem System ausgeführt werden, insbesondere mit Root-Rechten, ist ein Warnsignal.
  • Dateiänderungen
    • Ungeklärte Änderungen an Systemdateien, insbesondere an denen, die mit der SSH-Konfiguration oder Benutzerkonten verbunden sind, könnten auf Manipulationen hinweisen.

Maßnahmen zur Schadensbegrenzung

Um das Risiko der regreSSHion-Sicherheitslücke zu mindern, werden folgende Schritte empfohlen:

  • OpenSSH aktualisieren – das neueste verfügbare Update (Version 9.8p1), das die Sicherheitslücke behebt, installieren.
  • SSH-Zugriff beschränken – netzwerkbasierte Sicherheitsmaßahmen wie Firewalls und Netzwerksegmentierung, um laterale Bewegungen zu verhindern, benutzen. Defense in Depth!
  • Konfiguration ändern – Falls sofortige Updates nicht möglich sind, den LoginGraceTime-Parameter in der sshd-Konfigurationsdatei auf 0 setzen. Achtung! Dies erhöht das Risiko von Denial-of-Service-Angriffen.

OpenSSH RCE Schwachstelle CVE-2024-6387 – Fazit

Die regreSSHion-Sicherheitslücke stellt aufgrund ihrer potenziellen Ausnutzung und der großen Anzahl betroffener Systeme eine erhebliche Bedrohung dar. Organisationen sollten sofortige Maßnahmen ergreifen, um ihre OpenSSH-Installationen zu aktualisieren und zusätzliche Sicherheitsmaßnahmen zu implementieren. Regelmäßige Überwachung der SSH-Authentifizierungsprotokolle auf Anzeichen von Ausnutzungsversuchen und die Pflege eines robusten Asset-Inventars sind entscheidend für ein effektives Schwachstellenmanagement.

Vorheriger Beitrag
Was ist CVSS
Unser Newsletter

Abonnieren und keine Inhalte mehr verpassen



Unser Newsletter

Abonnieren und keine Inhalte mehr verpassen



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Das könnte noch interessant sein