Nach der Entdeckung der Sicherheitslücke RegreSSHion (CVE-2024-6409) haben Sicherheitsforscher nun eine weitere schwerwiegende Schwachstelle in OpenSSH identifiziert: CVE-2024-6387. Diese Schwachstelle ermöglicht es Angreifern, Remote Code Execution (RCE) auf betroffenen Systemen durchzuführen. Der CVSS-Score dieser Schwachstelle beträgt 8.1, was ihre kritische Natur unterstreicht.
Von den rund 24 Millionen weltweit über das Internet erreichbaren SSH-Servern sind 4 Millionen, also jeder sechste, anfällig für Angriffe. Die meisten dieser gefährdeten Server befinden sich in den USA, gefolgt von Deutschland mit etwa 700.000 betroffenen Servern. Es wird erwartet, dass diese Zahl in den nächsten Wochen deutlich zurückgehen wird, sobald die entsprechenden Sicherheitsupdates eingespielt sind.
OpenSSH Versionen:
- OpenSSH 8.7
- OpenSSH 8.8
- Portable Varianten dieser Versionen
Distributionen:
Red Hat Enterprise Linux (RHEL):
- RHEL 9 und nachgelagerte Distributionen basierend auf OpenSSH 8.7p1
Fedora:
- Fedora 35 bis 37 (besonders Fedora 36 und 37 betroffen)
- Frühere Versionen bis 35 können ebenfalls betroffen sein
- Fedora 38 und spätere Versionen sind nicht betroffen, da sie neuere OpenSSH-Versionen nutzen
Es ist unerlässlich, dass Administratoren und Sicherheitsverantwortliche ihre Systeme aktualisieren und geeignete Minderungsmaßnahmen oder entsprechende Patches implementieren, um diese Schwachstellen zu beheben und die Sicherheit ihrer IT-Infrastruktur zu gewährleisten.
-
Software-Update: Aktualisieren Sie OpenSSH auf die neueste verfügbare Version, die die Schwachstellen behebt.
-
Patch-Management: Stellen Sie sicher, dass der problematische openssh-7.6p1-audit.patch entfernt oder durch einen sicheren Patch ersetzt wird.
-
Konfigurationsanpassungen: Setzen Sie LoginGraceTime auf 0, um die Schwachstellen zu mitigieren.
Es gibt jedoch ein Risiko bei der Konfiguration von der LoginGraceTime. Angreifer können sämtliche verfügbaren SSH-Verbindungen des Servers blockieren. Da diese Verbindungen dann kein Zeitlimit mehr haben, würden sie nie wieder freigegeben. Dadurch wären legitime Nutzer vom Zugriff auf den Server ausgeschlossen.
Nur ein Update des OpenSSH-Servers bietet hundertprozentigen Schutz.
