RegreSSHion: Neue Verwundbarkeit stellt OpenSSH Sicherheit in Frage

In der heutigen technologischen Landschaft, in der Cybersecurity von größter Bedeutung ist, wurde kürzlich eine kritische Verwundbarkeit im OpenSSH-Server entdeckt. Diese Verwundbarkeit, benannt als “RegreSSHion”, kann potenziell zu einer Remote Code Execution (RCE) auf glibc-basierten Linux-Systemen führen. Die Sicherheitslücke wurde von Qualys aufgedeckt und als CVE-2024-6387 katalogisiert. In den folgenden Absätzen werfen wir einen detaillierten Blick auf die technische Natur dieser Verwundbarkeit und die Reaktionen der Community.

Die Verwundbarkeit betrifft OpenSSH-Versionen von 8.5p1 bis 9.7p1, die auf glibc-basierte Linux-Systeme angewiesen sind. Diese Schwachstelle resultiert aus einem Race Condition im Signal-Handler, der durch einen unzureichenden Verarbeitungssicherheitsschutz im glibc-Speichermanagement begünstigt wird. Experimente haben gezeigt, dass dieser Exploit etwa 10.000 Versuche benötigt, um erfolgreich zu sein, was durchschnittlich 6-8 Stunden dauern kann. Diese Zeitspanne ist notwendig, um die ASLR (Address Space Layout Randomization) zu umgehen und eine korrekte Speicheradresse zu raten.

Einige grundlegende Maßnahmen, die diskutiert wurden, umfassen die Reduzierung von MaxStartups und die Anpassung von LoginGraceTime. Es wurde angemerkt, dass der Standardwert für MaxStartups 10 ist, was bedeutet, dass maximal 10 Verbindungen zur Authentifizierung gleichzeitig akzeptiert werden. Dieser Wert kann erhöht werden, was zu mehr Verbindungsversuchen des Angreifers pro Zeiteinheit führt. Die LoginGraceTime standardmäßig auf 120 Sekunden zu setzen, gibt Angreifern ausreichend Zeit, die Race Condition auszunutzen. Ein möglicher Notfall-Patch besteht darin, LoginGraceTime auf 0 zu setzen, was jedoch die Gefahr eines Denial-of-Service (DoS)-Angriffs birgt.

Die Community-Diskussion dreht sich auch um die Nützlichkeit von Tools wie fail2ban und Firewall-Regeln. Während einige Benutzer betonen, dass fail2ban als Sicherheitsmaßnahme lediglich Theater ist, argumentieren andere, dass es eine effektive Methode zur Vermeidung von Brute-Force-Angriffen und zur Verhinderung der vollen Ausnutzung der Schwachstelle darstellt. Fail2ban kann IP-Adressen nach mehreren fehlgeschlagenen Anmeldeversuchen sperren, was die Bemühungen von Angreifern, die Race Condition auszunutzen, erheblich verkomplizieren kann. fail2ban hat zwar seine Grenzen, aber es ist immer noch eine zusätzliche Schicht der Verteidigung.

Technisch versierte Community-Mitglieder haben angemerkt, dass diese Schwachstelle auf Versionen unterhalb von OpenSSH 8.5p1 und ab Version 9.8p1 nicht mehr vorhanden ist. Es wird daher empfohlen, auf die neueste Version von OpenSSH zu aktualisieren, um sicherzustellen, dass die Verwundbarkeit behoben wird. Qualys hat eine detaillierte Analyse und einen Proof of Concept veröffentlicht, der zeigt, wie der Exploit funktioniert und wie er auf unterschiedlichen Systemen wirkt.

Eine besonders interessante Diskussion dreht sich um die Verwendung von alternativen Sicherheitsmaßnahmen wie Port-Knocking und VPNs. Port-Knocking, das explizite Öffnen von Firewall-Ports durch eine Reihe von vordefinierten Netzwerk-Interaktionen, wird als zusätzliche Sicherheitsebene diskutiert. Während einige dies als Sicherheits-Theater abtun, argumentieren andere, dass es eine nützliche Methode ist, um die Anzahl der Angriffsvektoren zu reduzieren. VPNs wie Wireguard bieten ebenfalls eine robuste zusätzliche Schutzschicht, indem sie den SSH-Server hinter einer verschlüsselten Verbindung verbergen.

Ein weiteres Diskussionsthema ist die Bedeutung der Signalverarbeitung in sicherheitskritischen Systemen. OpenBSD, ein Sicherheitsschwerpunkt-Betriebssystem, verwendet beispielsweise syslog_r, eine sicherere Variante des Standard syslog, um sicherzustellen, dass auf Signal-Handler sicher zugegriffen wird. Diese Asynchronitätssicherheitsmaßnahmen bieten einen zusätzlichen Schutz gegen die Ausnutzung von Race Conditions.

Es bleibt abzuwarten, ob diese Verwundbarkeit in größerem Umfang ausgenutzt wird. In der Zwischenzeit ist die beste Maßnahme, die Administratoren ergreifen können, sicherzustellen, dass ihre Systeme auf die neueste Version aktualisiert sind und dass sie zusätzliche Sicherheitsmaßnahmen wie fail2ban, VPNs oder Port-Knocking implementieren. Die IT-Community muss sich weiterhin über die sich ständig ändernde Bedrohungslandschaft bewusst sein und agil genug bleiben, um auf neue Sicherheitsherausforderungen zu reagieren.