Elementrica
03Fallstudien04Referenzen05Unternehmen06Aktuelles07Kontakt
PLENDE

regreSSHion (CVE-2024-6387)

ElementricaElementrica6 Min.
regreSSHion (CVE-2024-6387)

regreSSHion (CVE-2024-6387) ist eine Schwachstelle in OpenSSH, die eine nicht authentifizierte, entfernte Codeausführung mit Root-Rechten erlaubt. Anders gesagt: Ein Angreifer ganz ohne Konto kann im Extremfall die volle Kontrolle über den Server übernehmen. OpenSSH ist einer der meistgenutzten Fernzugriffsdienste auf Linux-Servern, entsprechend groß ist die mögliche Tragweite. Wir erklären, worin die Lücke besteht, wen sie betrifft und was konkret zu tun ist.

Was regreSSHion ist

Am 1. Juli 2024 machte die Qualys Threat Research Unit eine Schwachstelle in OpenSSH öffentlich, geführt als CVE-2024-6387. Es handelt sich um eine Race Condition in der Signalverarbeitung des sshd-Servers.

Die Pointe: Es ist ein alter Fehler, der zurückkehrt. Dieselbe Lücke gab es vor Jahren schon einmal (CVE-2006-5051), sie wurde behoben, und durch einen Fehler bei einer späteren Codeänderung kam sie in Versionen ab Oktober 2020 zurück. Daher der Name regreSSHion, von Regression.

Was das fürs Geschäft bedeutet: Ein nicht authentifizierter Angreifer aus dem Netz kann sich mit genug Aufwand Root-Rechte auf dem Server verschaffen. Das heißt Zugriff auf Ihre Daten, die Möglichkeit, Schadsoftware zu installieren, und ein Standbein, um im System zu bleiben.

Die wichtigsten Begriffe kurz

  • OpenSSH. Ein quelloffenes Paket für den verschlüsselten Fernzugriff auf Server. Unter Linux ist es der Standardweg, um sich anzumelden und Maschinen zu verwalten.
  • root. Der höchstprivilegierte Benutzer eines Linux-Systems. Voller, uneingeschränkter Zugriff.
  • RCE (Remote Code Execution). Entfernte Codeausführung. Eine kritische Klasse von Lücken, die einem Angreifer erlaubt, eigenen Code über das Netz auf einer fremden Maschine auszuführen.

Wie die Lücke funktioniert

Der Fehler steckt in der Signalverarbeitung. Meldet sich ein Client nicht innerhalb der über LoginGraceTime gesetzten Frist an (standardmäßig 120 Sekunden), läuft nach Ablauf asynchron eine Signal-Handler-Funktion an, die in diesem Kontext unsichere Operationen aufruft.

Der Angriff erfordert ein sehr präzises Timing und ist deshalb schwierig. In Tests auf einem 32-Bit-System waren im Schnitt rund 10.000 Versuche nötig, bis er gelang. Die Arbeit an einem Exploit für 64-Bit-Systeme lief noch.

Wen sie betrifft und wen nicht

Die Schwachstelle betrifft bestimmte OpenSSH-Versionen auf glibc-basierten Linux-Systemen. Windows ist nicht betroffen.

  • OpenSSH unter 4.4p1 ist verwundbar,
  • 4.4p1 bis 8.5p1 ist nicht verwundbar,
  • 8.5p1 bis 9.8p1 ist erneut verwundbar.

Ein Hinweis: Die Versionsnummer ist nicht alles. Distributionen liefern Patches oft aus, ohne die Versionsnummer zu ändern, deshalb kann eine scheinbar verwundbare Version bereits abgesichert sein. Prüfen Sie den Patch-Stand bei Ihrem Systemanbieter. Ihre OpenSSH-Version zeigt der Befehl ssh -V an.

Was konkret zu tun ist

Priorität: Aktualisieren Sie OpenSSH auf die neueste oder eine gepatchte Version. Das ist die wirksamste Lösung.

Wenn Sie nicht sofort aktualisieren können, ist eine vorübergehende Umgehung, LoginGraceTime in der sshd-Konfiguration auf 0 zu setzen. Das neutralisiert regreSSHion, setzt den Server aber einem Denial-of-Service-Angriff (DoS) aus, behandeln Sie es also nur als Notlösung.

Zusätzlich die allgemeine Härtung von SSH:

  • beschränken Sie den SSH-Zugang per Firewall auf vertrauenswürdige IP-Adressen,
  • isolieren Sie SSH-Server in eigenen Netzsegmenten,
  • deaktivieren Sie den Root-Login über SSH und nutzen Sie Schlüssel statt Passwörter,
  • überwachen Sie die SSH-Logs auf verdächtige Aktivität.

Diese Schritte erhöhen die allgemeine Sicherheit, ersetzen aber die Aktualisierung nicht. Ohne Patch bleibt die Lücke offen.

Was daraus folgt

  • regreSSHion ist eine Lücke der Klasse RCE in OpenSSH, gefährlich, weil sie Root-Rechte ohne Authentifizierung verschafft,
  • sie betrifft ausgewählte Versionen unter Linux und nicht Windows,
  • der Angriff ist technisch schwierig, die mögliche Folge aber so ernst, dass man sie nicht kleinreden sollte,
  • die grundlegende Maßnahme ist die Aktualisierung von OpenSSH.

Sie sind sich nicht sicher, welche Ihrer Server exponiert und verwundbar sind? Vereinbaren Sie eine kostenlose Beratung. Wir prüfen Ihre Angriffsfläche und zeigen Ihnen, wo Sie anfangen sollten.

Unklar, welche Server verwundbar sind?

Vereinbaren Sie eine kostenlose Beratung, wir prüfen Ihre Angriffsfläche und zeigen Ihnen, was zuerst zu patchen ist.

Vorheriger
NIS2 und Penetrationstests: was sich für Ihr Unternehmen ändert
Nächster
Eine kurze Einführung in die ICS- und OT-Sicherheit