Eine jüngst bekannt gewordene Schwachstelle in OpenSSH bot Angreifern die Möglichkeit, root-Rechte durch Brute-Force-Angriffe zu erlangen. Den Namen trägt sie: "RegreSSHion" (CVE-2024-6387). Ein IT-Forscher untersuchte daraufhin den Code weiter fand eine zusätzliche ähnliche Schwachstelle in der Software für sichere Verbindungen.
Beschreibung der neuen Schwachstelle
Eine Race Condition könnte auftreten in einem Signal-Handler von OpenSSH wenn ein Client sich nicht in der "LoginGraceTime" authentifiziert – standardmäßig sind dies 120 Sekunden, in älteren Versionen 600 Sekunden. Es wird dann der SIGALRM-Handler des sshd asynchron aufgerufen und ruft mehrere Funktionen auf. Diese sind jedoch nicht "async-signal-safe", ebenso wie etwa syslog(). Dies führe zu einer Signal-Handler-Race-Condition in der cleanup_exit()-Funktion. Gefahr besteht so entstehen dieselbe Schwachstelle im unprivilegierten Child-Prozess des sshd-Servers.
Betrifft nur wenige Linux-Distributionen
Nicht jede Linux-Distribution ist betroffen -- das Problem betrifft primär den sshd-Server von Red Hat Enterprise Linux 9. Upstream-Versionen sind hingegen fehlerfrei. Detaillierte Informationen bietet die OSS-Security-Mailingliste an: cleanup_exit() wird aus dem grace_alarm_handler() heraus aufgerufen was nicht vorgesehen ist, da sie nicht async-safe ist.
Im Red-Hat-OpenSSH-Paket führt openssh-7.6p1-audit.patch dieses fehlerhafte Verhalten ein. Fedora ist ähnlich wie beeinträchtigt mit OpenSSH-Versionen 8.7p1 und 8.8p1 in Fedora 36 und 37. Fedora 38 und höhere Versionen sind hingegen nicht betroffen.
Unterschied zur "RegreSSHion"-Lücke
Beide Lücken ähneln sich dennoch bleibt die Race Condition bei der neuen Schwachstelle im rechteseparierten Child-Prozess. Der Hacker hat dadurch weniger Rechte als beim Eltern-Prozess. Dies schränkt die unmittelbaren Auswirkungen ein doch könnte Angreifer in gewissen Situationen interessant erscheinen.
Vorübergehende Maßnahmen könnten helfen wie das Setzen der LoginGraceTime auf 0 Sekunden. Diese Maßnahmen schützen schweben beide Lücken jedoch vollständig gegen CVE-2024-6387 jedoch nur begrenzt gegen CVE-2024-6409.
Ein Exploit für die neue Schwachstelle ist noch nicht vorhanden. Analysen zeigen allerdings, dass die IT-Sicherheitsforscher von Qualys die Lücke bestätigt haben.
Empfehlungen für Administratoren
Admins sollten unverzüglich aktualisierte OpenSSH-Pakete für RHEL und verwandte Linux-Distributionen installieren. Besteht keine Möglichkeit aktualisierte Pakete zu nutzen empfiehlt sich zumindest die Herabsetzung der LoginGraceTime.
Letzte Woche wurde die Schwachstelle "RegreSSHion" bekannt. Angreifer können sich durch Brute-Force-Angriffe innerhalb von acht Stunden root-Rechte verschaffen.
Kommentare