Millionen Instanzen angreifbar: OpenSSH-Lücke gefährdet unzählige Linux-Systeme
Sicherheitsforscher von Qualys entdeckten eine kritische Sicherheitslücke im OpenSSH-Daemon (sshd), die es nicht authentifizierten Angreifern ermöglicht, aus der Ferne einen Root-Zugriff auf glibc-basierte Linux-Systeme zu erlangen. Angreifer müssen allerdings Geduld mitbringen, denn eine erfolgreiche Ausnutzung der regreSSHion genannten und als CVE-2024-6387 registrierten Schwachstelle dauert in der Regel mehrere Stunden.
Der Name der Sicherheitslücke basiert auf dem Umstand, dass es sich um eine sogenannte Regression (Rückschritt) handelt. Denn CVE-2024-6387 ist nicht gänzlich neu. Stattdessen handelt es sich um die fast zwei Jahrzehnte alte Sicherheitslücke CVE-2006-5051(öffnet im neuen Fenster) , die im Oktober 2020 mit der OpenSSH-Version 8.5p1 wieder eingeführt wurde.
Wie die Qualys-Forscher in ihrem Blogbeitrag(öffnet im neuen Fenster) erklären, basiert CVE-2024-6387 auf einer Race Condition. Anfällig sind alle Portable-Versionen von OpenSSH ab 8.5p1 bis einschließlich 9.7p1 in der jeweiligen Standardkonfiguration.
Die Forscher identifizierten nach eigenen Angaben weltweit mehr als 14 Millionen potenziell angreifbare OpenSSH-Instanzen. Innerhalb des eigenen Kundenstamms fand Qualys mit einem Anteil von 31 Prozent insgesamt 700.000 anfällige und über das Internet erreichbare Systeme.
Sicherheitslücke ist schwer auszunutzen
Grundsätzlich sollte die Bedrohung durch CVE-2024-6387 nicht unterschätzt werden. Hinsichtlich der Ausnutzbarkeit der Sicherheitslücke gibt es jedoch einige Einschränkungen, die das Risiko entschärfen. Wie aus einem detaillierten technischen Bericht über regreSSHion(öffnet im neuen Fenster) hervorgeht, brauchten die Forscher bei eigenen Tests rund 10.000 Versuche, um die genannte Race Condition zu gewinnen.
"Bei 100 akzeptierten Verbindungen (MaxStartups) pro 120 Sekunden (LoginGraceTime) dauert es im Durchschnitt etwa 3 bis 4 Stunden, um die Race Condition zu gewinnen, und rund 6 bis 8 Stunden, um eine Remote-Root-Shell zu erhalten" , erklärten die Forscher.
Obendrein konnte Qualys eine erfolgreiche Ausnutzung bisher nur auf 32-Bit-Systemen mit Linux demonstrieren. Eine Ausnutzbarkeit auf 64-Bit-Systemen wird zwar ebenfalls für möglich gehalten, konnte aber bisher noch nicht nachgewiesen werden. Die Forscher gehen davon aus, dass ein Angriff in diesem Fall bis zu einer Woche dauern könnte.
Dass die Schwachstelle auch unter MacOS und Windows existiere, sei zwar wahrscheinlich, eine Ausnutzbarkeit auf diesen Systemen aber ungewiss. Um dies festzustellen, seien weitere Untersuchungen erforderlich. OpenBSD-Systeme seien aber grundsätzlich nicht betroffen, da ein im Jahr 2001 eingeführter Sicherheitsmechanismus die Ausnutzung von CVE-2024-6387 dort verhindere.
Ein Patch steht bereit
Qualys entwickelte nach eigenen Angaben einen funktionierenden Exploit für CVE-2024-6387, will diesen aber nicht veröffentlichen, damit Administratoren Zeit haben, ihre OpenSSH-Instanzen zu patchen. Die Forscher gehen jedoch davon aus, dass auch andere Akteure in der Lage sein werden, einen solchen Exploit zu entwickeln.
Wie aus den Release Notes von OpenSSH(öffnet im neuen Fenster) hervorgeht, wurde die Sicherheitslücke mit der Portable-Version 9.8p1 geschlossen. Wer den Patch noch nicht einspielen kann, kann eine Ausnutzung von CVE-2024-6387 vorerst dadurch verhindern, dass er die LoginGraceTime in der Konfigurationsdatei von OpenSSH auf den Wert 0 setzt. Dieser Schritt macht die Instanz zwar anfällig für Denial-of-Service-Angriffe, verhindert aber immerhin die Ausführung von Schadcode.
Bereits erfolgte Ausnutzungsversuche lassen sich laut Qualys daran erkennen, dass in den Protokollen viele Einträge des Typs "Timeout before authentication" zu sehen sind.