Critical OpenSSH vulnerability

CVE-2024-6387: Eine kritische OpenSSH-Schwachstelle durch eine Race-Condition im Signal-Handler

By SecurityHive
 | 
July 2, 2024

Als führendes Cybersecurity-Unternehmen priorisieren wir es, unsere Kunden und Leser über kritische Schwachstellen zu informieren, die ihre Systeme beeinträchtigen könnten. Heute befassen wir uns mit CVE-2024-6387, einer schweren Schwachstelle in OpenSSH, die aufgrund ihres Potenzials zur Ausführung von nicht authentifiziertem Remote-Code erhebliche Aufmerksamkeit erregt hat.

Was ist CVE-2024-6387?

CVE-2024-6387, auch bekannt als "regreSSHion", ist eine Schwachstelle in der Serverkomponente (sshd) von OpenSSH, die die Versionen 8.5 bis 9.8 betrifft. Dieses Problem entsteht durch eine Race-Condition im Signal-Handler, insbesondere wenn sich ein Client nicht innerhalb der LoginGraceTime (standardmäßig 120 Sekunden) authentifiziert. Die Schwachstelle wird durch die asynchrone Verarbeitung des SIGALRM-Signals ausgelöst, das Funktionen aufruft, die nicht sicher für den asynchronen Signalgebrauch sind, wie zum Beispiel syslog().

Wie kann CVE-2024-6387 ausgenutzt werden?

Ein Angreifer, der CVE-2024-6387 ausnutzt, kann beliebigen Code auf dem Zielserver ausführen, ohne eine Authentifizierung zu benötigen. Hier ist eine schrittweise Übersicht des Exploitationsprozesses:

  1. Verbindungsaufbau: Der Angreifer verbindet sich mit dem OpenSSH-Server, schließt den Authentifizierungsprozess jedoch nicht ab.

  2. Auslösen der Schwachstelle: Wenn die LoginGraceTime abläuft, wird das SIGALRM-Signal ausgelöst. Aufgrund der Race-Condition kann dieser Handler unsichere Funktionen aufrufen.

  3. Codeausführung: Durch sorgfältiges Gestalten der Verbindung und das Timing der Ausnutzung kann der Angreifer beliebige Befehle als Root ausführen, was zu einer möglichen vollständigen Systemkompromittierung führt.

Was ist die Auswirkung?

Diese Schwachstelle hat einen CVSS v3 Basis-Score von 8.1 und wird als hochgradiges Problem eingestuft. Die potenziellen Auswirkungen umfassen unbefugten Systemzugang, Datenlecks und vollständige Kontrolle über betroffene Server.

Wie überprüft man das?

Um festzustellen, ob Ihre Systeme von CVE-2024-6387 betroffen sind, überprüfen Sie die installierte OpenSSH-Version:

ssh -V

Wenn Ihre Version zwischen 8.5 und 9.8 liegt, ist Ihr System verwundbar. Für automatisierte und umfassende Schwachstellenbewertungen kann unsere Vulnerability Management Solution schnell diese und andere Sicherheitsprobleme in Ihrer Infrastruktur identifizieren.

Minderung und Updates

Aktualisierung von OpenSSH: Die effektivste Möglichkeit, CVE-2024-6387 zu mindern, ist das Update von OpenSSH auf 9.8p1. Auf den meisten Systemen können Sie dies über den Paketmanager tun. Beispielbefehl auf Debian:

apt-get update && apt-get upgrade openssh-server

Temporäre Minderung: Wenn ein sofortiges Update nicht möglich ist, können Sie das Risiko vorübergehend mindern, indem Sie LoginGraceTime in der sshd_config-Datei auf 0 setzen:

vi /etc/ssh/sshd_config

LoginGraceTime 0

Dies verhindert die Ausführung von Remote-Code, kann jedoch zu einem Denial-of-Service führen, indem alle MaxStartups-Verbindungen verbraucht werden.

Nutzung unserer Vulnerability Management Solution

Das Verfolgen solcher Schwachstellen und das Sicherstellen rechtzeitiger Updates kann entmutigend sein. Unsere Vulnerability Management Solution vereinfacht diesen Prozess. Sie scannt Ihr Netzwerk, identifiziert Schwachstellen und bietet detaillierte Berichte und Abhilfemaßnahmen. Dieser proaktive Ansatz stellt sicher, dass Ihre Systeme sicher und konform mit den neuesten Sicherheitsstandards sind.

Starten Sie Ihre 14-tägige kostenlose Testphase und beginnen Sie sofort mit dem Scannen

Sind Sie verwundbar?