14 Millionen Server von Sicherheitslücke betroffen

Die Sicherheitslücke wurde eigentlich schon 2006 entdeckt und CVE-2006-5051 genannt. Sie betrifft OpenSSH-Server, ein sehr weit verbreitetes Softwarepacket für Linux.

Das Team hinter OpenSSH stopfte die Lücke – und baute sie im Oktober 2020 unabsichtlich wieder ein. Die Sicherheitsforscher von Qualys haben jetzt eine Methode gefunden, die Lücke auszunutzen. Angreifer könnten so aus der Ferne das System übernehmen.

➤ Mehr lesen: Bluetooth-Sicherheitslücke macht Milliarden Geräte angreifbar

Millionen Linux-Server betroffen

Qualys hat die Lücke RegreSSHion getauft. Dies ist ein Wortspiel mit Regression (Rückschritt). So wird bei der Softwareentwicklung ein Fehler genannt, der schon mal behoben wurde und dann aber in einer späteren Softwareversion wieder auftaucht.

Gut 14 Millionen Linux-Systeme, die mit dem Internet verbunden sind, sind durch RegreSSHion angreifbar. OpenSSH wird teilweise auch in Windows-Computern und auf Macs genutzt. Ob diese auch angreifbar sind, ist noch nicht bekannt.

➤ Mehr lesen: Smartphones können durch Sicherheitslücke “gegrillt” werden

Nur einer von 10.000 Angriffsversuchen gelingt

Um die Lücke auszunutzen, ist Timing erforderlich. Wird auf einen OpenSSH-Server zugegriffen, muss eine SSH-Verbindung hergestellt werden. Sendet der zugreifende Computer die Authentifizierungsdaten nicht, wird der Prozess nach 120 Sekunden abgebrochen und das Unix-Signal SIGALRM gesendet. Damit wird üblicherweise die Protokollierung der nicht erfolgten Verbindung ausgelöst, sagt heise.de. Und wird hier der richtige Moment erwischt, kann Schadcode eingeschleust werden, um Root-Rechte zu erhalten. Dann kann das System übernommen werden.

Laut den Sicherheitsforschern ist das Erwischen des richtigen Moments der Knackpunkt. Durchschnittlich ist nur einer von 10.000 Versuchen erfolgreich. Selbst wenn die Attacke automatisiert mit den maximal 100 parallel zulässigen SSH-Verbindungen ausgeführt wird, brauche man im Schnitt 6 bis 8 Stunden.

➤ Mehr lesen: Katze verursacht Systemausfall in Krankenhaus

Betroffene Systeme

Zudem funktioniert der Angriff bisher nur bei 32-Bit-Linux-Systemen. Laut den Forschern arbeite man noch an dem Angriff für 64-Bit-Systeme. Allerdings könnte hier die Zeit für eine erfolgreiche Attacke zwischen 8 Stunden und mehreren Tagen liegen.

Aktuell betroffen von RegreSSHion sind die 2006er-Versionen von OpenSSH (alles vor 4.4p1, sofern nicht gegen CVE-2006-5051 oder CVE-2008-4109 gepatcht) und die aktuelleren Varianten OpenSSH 8.5p1 bis 9.8 für Debian GNU/Linux. Es wird empfohlen, auf OpenSSH 9.8p1 umzusteigen. Dort gibt es die Sicherheitslücke nicht mehr. Für mehrere Linux-Distributionen gibt es bereits neue SSH-Softwarepakete, wie etwa Debian und Ubuntu.