Share
Beitragsbild zu Die Rückkehr des RCE: Behebung der regreSSHion-Schwachstelle – CVE-2024-6387

Die Rückkehr des RCE: Behebung der regreSSHion-Schwachstelle – CVE-2024-6387

Ein bedauerliches Wiederaufleben + Am 1. Juli 2024 veröffentlichte die Qualys Threat Research Unit (TRU) die Entdeckung einer Sicherheitslücke in OpenSSH, einem Tool für sichere Remote-Verbindungen über das Secure Shell (SSH)-Protokoll, die eine nicht authentifizierte Remote-Code-Ausführung (RCE) ermöglicht. Der Fehler mit der Bezeichnung CVE-2024-6387 ist eine Regression einer zuvor gepatchten Schwachstelle und betrifft OpenSSH Version 8.5p1 bis (aber nicht einschließlich) 9.8p1 sowie ungepatchte Versionen älter als 4.4p1.

Die Geschichte von CVE-2024-6387 – genannt „regreSSHion“ – dient als Beispiel dafür, was passieren kann, wenn ein Lapsus im grundlegenden Prozess des Software-Regressionstests auftritt. Regressionstests sind eine gängige Praxis in der Softwareentwicklung. Durch den Vergleich neu entwickelter Software mit früheren Versionen vor der Freigabe wird verhindert, dass alte Fehler, die die Softwarefunktionalität oder -sicherheit beeinträchtigen, erneut auftreten – zum Beispiel Software-Schwachstellen, die zuvor entdeckt und behoben wurden. In diesem Fall wurde eine Schwachstelle, die erstmals vor über einem Jahrzehnt entdeckt wurde (CVE-2006-5051), in OpenSSH 8.5p1, das im Oktober 2020 veröffentlicht wurde, unbemerkt wieder eingeführt.

Die Auswirkungen der regreSSHion-Schwachstelle

CVE-2024-6387 ist vor allem aus zwei Gründen besorgniserregend: seine Verbreitung und seine potenziellen Auswirkungen im Falle einer Ausnutzung.

Erstens ist OpenSSH eine weit verbreitete Implementierung des SSH-Protokolls für sichere Netzwerke, die von Haus aus in Windows, macOS und die meisten Linux-Betriebssysteme integriert ist. Viele OpenSSH-Server sind mit dem Internet verbunden, in der Regel für die Fernverwaltung und -administration von Systemen, wodurch eine externe Angriffsfläche entsteht, die sensible Systeme offenlegt. Nach Angaben von Qualys sind über 14 Millionen OpenSSH-Serverinstanzen mit dem Internet verbunden, von denen etwa 700.000 für regreSSHion anfällig sind.

Zweitens ist die Ausnutzung der regreSSHion-Schwachstelle zwar nicht trivial, kann aber von einem nicht authentifizierten Angreifer aus der Ferne durchgeführt werden. Wenn die Schwachstelle ausgenutzt wird, kann der Angreifer beliebigen Code mit Root-Rechten auf den betroffenen Systemen ausführen.

Die Ausnutzung der Schwachstelle kann schwerwiegende Folgen haben, darunter:

  • Vollständige Systemkompromittierung: Ein Angreifer kann Root-Zugriff erlangen und damit die vollständige Kontrolle über das System erlangen.
  • Einschleusen von Malware: Bösartige Software kann eingeschleust werden, um Angriffe wie Ransomware auf sensible interne Systeme auszuführen.
  • Datenmanipulation und -exfiltration: Mit Root-Zugriff können Angreifer Daten verändern, einen Befehls- und Kontrollkanal für die Datenexfiltration einrichten und Hintertüren für den dauerhaften Zugriff erstellen.
  • Seitliche Verschiebung/Lateral Movement: Ein kompromittiertes System kann als Ausgangspunkt für Angriffe auf andere anfällige Systeme im Netzwerk genutzt werden.
Ausnutzung der regreSSHion-Schwachstelle: Der Standpunkt des Angreifers

Das sichere Netzwerkprotokoll SSH wird häufig verwendet, um einen geschützten Zugang zu sensiblen Unternehmensressourcen zu ermöglichen, was es zu einem bevorzugten Ziel für Angreifer macht. Obwohl die Kompromittierung von verwundbaren OpenSSH-Servern erhebliche Vorteile bringen kann, ist die Ausnutzung von regreSSHion nicht trivial.

Die regreSSHion-Schwachstelle wird ausgenutzt, indem ein Zeitproblem in der OpenSSH-Server-Software ausgenutzt wird. Wenn ein Client sich nicht innerhalb eines bestimmten Zeitrahmens anmeldet, versucht der Server, dies durch das Ausführen bestimmter Funktionen zu beheben. Bei anfälligen Versionen können diese Funktionen so manipuliert werden, dass ein Angreifer seinen eigenen Code auf dem Server mit voller Kontrolle ausführen kann. Die Ausnutzung dieser Schwachstelle erfordert ein hohes Maß an Geschicklichkeit und Ausdauer sowie Tools, mit denen die Schwachstelle auf dem anfälligen Rechner wiederholt ausprobiert werden kann, bis sie erfolgreich ist.

Aus der Perspektive der internen Angriffsfläche ist die Bedrohung durch regreSSHion aufgrund der Zeit, des Aufwands und der Fähigkeiten, die zur Ausnutzung der Schwachstelle erforderlich sind, geringer. Ständige Ausnutzungsversuche von Stunden bis Tagen würden ein erhebliches Rauschen im Netzwerk erzeugen, was die Wahrscheinlichkeit der Entdeckung durch Systeme zur Überwachung des Netzwerkverkehrs erhöht. Angreifer würden diesen Exploit höchstwahrscheinlich für einen ausgeklügelten gezielten Angriff in Betracht ziehen. In einem solchen Szenario würden sie wahrscheinlich andere Methoden mit einem höheren „Aufwand“ ausprobieren, um ihre Ziele zu erreichen.

Von der externen Angriffsoberfläche aus ist es für Angreifer wesentlich einfacher, wiederholte Exploit-Versuche durchzuführen, was die Erfolgschancen erhöht, wenn ein verwundbarer OpenSSH-Server über das Internet zugänglich ist. Nach außen gerichtete Anlagen werden ständig mit eingehendem Datenverkehr von Bots konfrontiert, was es Angreifern leicht macht, ihre Aktionen zu verbergen. Darüber hinaus hat ein Angreifer außerhalb des Unternehmensnetzwerks nicht die gleichen zeitlichen Beschränkungen wie ein interner Angreifer, wenn er versucht, seine Angriffe voranzutreiben und sich der Entdeckung zu entziehen.

Entschärfung der regreSSHion-Schwachstelle: Empfohlene Maßnahmen

Die Überprüfung der Sicherheit Ihrer SSH-Implementierung ist aufgrund des potenziellen Risikos, das durch einen Angreifer entsteht, von entscheidender Bedeutung. Wir ermutigen Sicherheitsteams, das Auftreten von regreSSHion als Anlass zu nehmen, ihre SSH-Sicherheitslage insgesamt zu überprüfen.

Die empfohlenen Maßnahmen lauten wie folgt:

  1. Erkennen Sie Instanzen von OpenSSH in Ihrer Umgebung, wobei der Schwerpunkt auf Instanzen liegt, die von außen zugänglich sind.
  2. Eliminieren Sie nicht benötigte externe Zugriffe auf OpenSSH-Server. Als beste Praxis sollte die Verbindung von SSH-Servern mit dem öffentlichen Internet wann immer möglich vermieden werden, unabhängig von der Anfälligkeit für regreSSHion. Es wird empfohlen, SSH-Server hinter Firewalls zu platzieren und VPNs oder andere sichere Methoden für den Zugriff auf sie zu verwenden. In Fällen, in denen ein direkter Internetzugang notwendig ist, wie z. B. bei Cloud-basierten Diensten oder der Fernadministration verteilter Systeme, kann die Implementierung starker Zugangskontrollen, wie z. B. Multi-Faktor-Authentifizierung und regelmäßige Überwachung, dazu beitragen, die damit verbundenen Risiken zu mindern.
  3. Identifizieren Sie die Instanzen von OpenSSH, die anfällig für RegreSSHionsind, und patchen oder entschärfen Sie sie. Wenn ein Patching nicht möglich ist, sollten Sie in einem ersten Schritt andere, unten beschriebene Abhilfemaßnahmen ergreifen.

Zu den Entschärfungsoptionen gehören:

Software-Patch

Die effektivste Strategie zur Schadensbegrenzung besteht darin, die neuesten von OpenSSH bereitgestellten Patches anzuwenden. Insbesondere sollte OpenSSH auf Version 9.8p1 oder höher aktualisiert werden, die Korrekturen für die regreSSHion-Schwachstelle enthält.

Änderungen der Konfiguration

Es ist möglich, die Wahrscheinlichkeit eines Angriffs zu verringern, indem der Parameter LoginGraceTime in der sshd-Konfigurationsdatei auf anfälligen OpenSSH-Servern geändert wird. Das Setzen von LoginGraceTime auf 0 verringert das Risiko der Remotecodeausführung, kann aber zu Denial-of-Service (DoS) führen.

Zugriffskontrollen

Die Implementierung von Zugangskontrollen kann dazu beitragen, die Anfälligkeit von SSH-Diensten zu begrenzen. Dazu gehören:

  • Firewall-Regeln: Beschränken Sie den SSH-Zugang nur auf vertrauenswürdige IP-Adressen.
  • Netzwerksegmentierung: Isolieren Sie kritische Systeme und schränken Sie seitliche Bewegungen innerhalb des Netzwerks ein.
  • Multi-Faktor-Authentifizierung: Sicherstellung des Zugriffs durch autorisierte Identitäten.

Überwachung und Erkennung

Der Einsatz von Intrusion-Detection-Systemen (IDS) und Überwachungs-Tools kann dazu beitragen, ungewöhnliche Aktivitäten zu erkennen, die auf Angriffsversuche hindeuten. Ein hohes Aufkommen von Verbindungsversuchen oder ein ungewöhnliches Prozessverhalten können auf einen laufenden Angriff hindeuten.

Identifizieren Sie die Anfälligkeit für regreSSHion mit Pentera

Unsere Kunden können bereits heute die Angriffsflächenüberwachung von Pentera nutzen, um verwundbare Instanzen von OpenSSH in ihrer Umgebung zu lokalisieren.

Wir arbeiten derzeit daran, die Erkennung und Verfolgung von CVE-2024-6387 mit Pentera zu automatisieren.

Quelle: Pentera-Blog


Ihr Kontakt zu uns:

Matan Katz, Regional Development

Hier direkt einen Termin buchen:

https://pentera.oramalthea.com/c/MatanKatz

Oliver Meroni, Regional Sales Manager Switzerland & Austria, Pentera

Hanspeter Karl, Area Vice President DACH, Pentera

Firma zum Thema

pentera

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden

Bleiben Sie informiert!

  • Newsletter jeden 2. Dienstag im Monat
  • Inhalt: Webinare, Studien, Whitepaper
Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Klicken Sie auf den unteren Button, um den Inhalt von Google reCAPTCHA zu laden.

Inhalt laden