Fernwartungstools sind eine feine Sache: Dank ihnen können Systeme bequem von außen administriert werden, physisch vor Ort muss man für dringende Wartungsaufgaben also nur mehr in seltenen Fällen sein. Weniger fein ist, wenn genau in solchen Tools schwere Sicherheitslücken auftauchen, wie es jetzt beim viel genutzten OpenSSH der Fall ist.

RegreSSHion

Die Sicherheitsexperten von Qualys haben einen verheerenden Fehler in OpenSSH entdeckt. Ist es über die RegreSSHion getaufte Lücke doch nicht nur möglich, von außen auf betroffene Rechner einzubrechen, die Angreifer erhalten auch gleich noch Root-Rechte. Das bedeutet: Sie können danach mit dem System so gut wie alles anstellen, von der Beschädigung der Software bis zur Installation von Spionagetools.

Regresshion Sicherheitslücke
Keine große Sicherheitslücke ohne eigenen Name und Logo.
Qualys

Was die Sache noch unerfreulicher macht: Der Fehler war bereits vor geraumer Zeit entdeckt und beseitigt worden, und zwar im Jahr 2006. Selbst als Sicherheitslücke wurde er damals korrekt klassifiziert und mit einem entsprechenden CVE-Eintrag versehen. Leider wurde der Fehler aber im Oktober 2020 wieder eingeschleppt, seitdem wäre der Bug also theoretisch ausnutzbar gewesen. Aus diesem Ablauf erklärt sich dann auch der Name für die Lücke in Anspielung auf das Wort Regression für ein unabsichtlich wieder eingeführtes Problem.

Umfang

Qualys geht davon aus, dass rund 14 Millionen am Internet hängende Systeme von dem Fehler betroffen sind. Das ergibt sich aus einer Suche mit der Spezialsuchmaschine Shodan, auch Censys liefert einen ähnlichen Wert. Dabei handelt es sich allesamt um glibc-basierende Linux-Systeme, bei denen OpenSSH direkt aus dem Internet zu erreichen ist. Ob Windows- und Mac-Systeme unter gewissen Voraussetzungen auch gefährdet sind, ist derzeit noch nicht klar. Bei OpenBSD scheinen hingegen Sicherheitsmechanismen des Systems die Ausnutzung der Lücke zu verhindern.

In Hinblick auf betroffene Versionen sieht es so aus: Alle Versionen zwischen OpenSSH 8.5p1 und 9.7p1 sind verwundbar. Nicht mehr betroffen ist die gerade veröffentlichte Version 9.8p1, auf diese zu aktualisieren ist denn auch der Ratschlag der Experten. Das ist allerdings oft leichter gesagt als getan, die Linux-Distributionen arbeiten derzeit nämlich noch an ihren Updates, üblicherweise ist aber davon auszugehen, dass diese in den kommenden Stunden folgen werden. So wird bei Fedora gerade an einem entsprechenden Update gearbeitet, und auch bei Debian laufen schon die Tests.

Apropos: Bei Debian ist nur die aktuellste Softwaregeneration Bookworm sowie nicht als stabil geltenden Ausführungen der Distribution gefährdet. Ältere Debian-Versionen haben nämlich schlicht eine zu alte OpenSSH-Ausgabe, um gefährdet zu sein. Auch bei Ubuntu wird gerade an passenden Updates gearbeitet.

Einschränkungen

Angesichts der noch etwas unübersichtlichen Situation will Qualys vorerst keinen Beispielcode zur Ausnutzung der Lücke veröffentlichen. Zumindest ein Trost bleibt angesichts der aktuellen Lage. Angreifer brauchen ziemlich viel Geduld, damit eine solche Attacke gelingt, da der Angriff nicht sehr zuverlässig funktioniert. Im Schnitt gelinge jeder zehntausendste Versuch, so Qualys. Beim standardmäßigen Timeout von 120 Sekunden ergibt das selbst bei hunderten parallelen Verbindungsversuchen eine Zeit bis zu einem erfolgreichen Einbruch von rund acht Stunden. Da etwa bei Debian in der Default-Einstellung nur zehn Verbindungen gleichzeitig zugelassen sind, dürfte es in der Realität noch erheblich länger dauern. (Andreas Proschofsky, 1.7.2024)