Eine im Jahr 2006, also vor achtzehn Jahren, behobene Sicherheitslücke ist mit einem neuen Spitznamen zurückgekehrt: RegreSSHion. Es wurde im Jahr 2020 aufgrund einer falschen Handhabung von OpenSSH-Code eingeführt. Seine Anwesenheit wurde erst vor kurzem bemerkt.
Man glaubte, sie sei tot und achtzehn Jahre lang begraben. Leider ist die 2006 behobene Sicherheitslücke CVE-2006-5051 gerade wieder aufgetaucht. Es ist das IT-Sicherheitsunternehmen Qualys, das gerade in einem am 1. Juli veröffentlichten Artikel Alarm geschlagen hat. Der Spitzname dieses Fehlers, der gerade ein Comeback feiert? Regression.
Ein wohlbekannter Spitzname: Tatsächlich betrifft der Vorfall OpenSSH. Hierbei handelt es sich um eine Reihe von Tools zur Sicherung von Netzwerkverbindungen und zur Fernsteuerung von Computern, wobei zum Schutz der ausgetauschten Daten Verschlüsselung zum Einsatz kommt. Es handelt sich um eine kostenlose Implementierung von SSH (Secure Shell), einem sicheren Kommunikationsprotokoll.
Ein fehlerhaftes Update, das den Fehler wieder behebt
Es stellt sich jedoch heraus, dass es sich bei dem von Qualys erkannten Problem um eine Software-Regression handelt. Hierbei trat nach einem Update eine Codeänderung in OpenSSH auf, die die ordnungsgemäße Funktion der Software beeinträchtigte. Diese Verschlechterung der OpenSSH-Qualität erfolgte im Oktober 2020 mit der OpenSSH 8.5p1-Revision.
Das Problem ist ernst. Erstens aufgrund der Art des Fehlers selbst. Es erhielt einen Schweregrad zwischen 8,1 und 9,3 von 10. Je näher der Wert an der Maximalbewertung liegt, desto höher ist die Kritikalität. Die Gefährlichkeit von Computerverstößen wird anhand eines bestimmten, von Zeit zu Zeit überarbeiteten Protokolls namens CVSS gemessen.
Es war auch Gegenstand von Warnmeldungen von Organisationen wie dem Governmental Center for Monitoring, Alerting and Response to Computer Attacks (CERT-FR) in Frankreich und dem National Institute of Standards and Technology (NIST) in den Vereinigten Staaten.
Es ist auch sehr ernst im Hinblick auf die Art der betroffenen Software. „Basierend auf Forschung […]„Wir haben mehr als 14 Millionen OpenSSH-Serverinstanzen identifiziert, die potenziell angreifbar und dem Internet ausgesetzt sind“, schreibt Qualys. Als Zeichen der Sensibilität von OpenSSH hat es materielle oder finanzielle Unterstützung von Google, DuckDuckGo und sogar der EU erhalten.
Gemäß der Beschreibung des CERT-FR: „ Diese Sicherheitslücke ermöglicht es einem nicht authentifizierten Angreifer, beliebigen Code aus der Ferne mit Root-Rechten auszuführen » auf einigen « 32-Bit-Linux-Systeme “. Eine Einschränkung jedoch: Der Betrieb erfordert zwischen sechs und acht Stunden ununterbrochene Verbindungen “, wodurch die Belichtung leicht reduziert wird.
Im Einzelnen handelt es sich bei den betroffenen Versionen von OpenSSH um:
- OpenSSH-Versionen vor 4.4p1, sofern nicht für CVE-2006-5051 und CVE-2008-4109 gepatcht;
- Versionen 8.5p1 bis einschließlich 9.8p1 aufgrund versehentlicher Löschung einer kritischen Komponente in einer Funktion.
Es sollte beachtet werden, dass OpenBSD-Systeme immun sind, da OpenBSD im Jahr 2001 einen Mechanismus implementiert hat, der verhindert, dass dieser Verstoß schädliche Auswirkungen hat. Auch Versionen zwischen OpenSSH 4.4p1 und bis zu 8.5p1 (nicht im Lieferumfang enthalten) sind sicher. Bei Linux 64-Systemen wird davon ausgegangen, dass sie der Bedrohung ausgesetzt sind, es wurde jedoch kein Nachweis erbracht.
Die gute Nachricht ist, dass diese neue Schwachstelle mit dem Codenamen CVE-2024-6387 bereits eingedämmt oder sogar behoben werden kann. „ Seit dem 1. Juli 2024 haben einige Linux-Distributionen Patches für anfällige Versionen veröffentlicht », Zeigt das CERT-FR an, das auf seine Dokumentation verweist.
Abonnieren Sie Numerama bei Google News, damit Sie keine Neuigkeiten verpassen!
