Erste Updates für CVE-2024-6387 in OpenSSH verfügbar

Erstellt von Fabio Francioni am 10.07.2024 16:18:54
Fabio Francioni
Vernetzen auf:
LinkedIn

Die Schwachstelle CVE-2024-6387 in OpenSSH ermöglicht eine Remote Code Execution (RCE). Die Schwachstelle ist auch bekannt als "regreSSHion". Erste Hersteller haben nun ein Update veröffentlicht, in dem die Schwachstelle geschlossen wird.

Die Qualys Threat Research Unit (TRU) hat eine kritische Sicherheitslücke im OpenSSH-Server (sshd) auf glibc-basierten Linux-Systemen entdeckt und wurde der CVE-2024-6387 zugeordnet. Die Sicherheitslücke ermöglicht Remote Code Execution (RCE) ohne Authentifizierung mit Root Rechten. Die Schwachstelle betrifft alle OpenSSH-Server-Versionen zwischen 8.5p1 und 9.8p1 sowie Versionen früher als 4.4p1, sofern sie nicht für CVE-2006-5051 oder CVE-2008-4109 gepatcht wurden. Das Problem tritt auf, wenn der SSH-Server (sshd) Signale asynchron in einer unsicheren Weise verarbeitet. Wenn ein Client innerhalb der konfigurierten "LoginGraceTime" (standardmässig 120 Sekunden) die Authentifizierung nicht abschliesst, wird der SIGALRM-Handler des sshd asynchron aufgerufen, was zu unsicheren Funktionsaufrufen führen kann und schliesslich eine Race-Condition verursacht.

 

Der Exploit für diese Schwachstelle erfordert im Durchschnitt etwa 10.000 Versuche, und das Zielsystem muss auf einer glibc-basierten Linux-Version basieren. Theoretisch ist der Exploit auch auf 64-Bit-Systemen möglich, jedoch mit geringerer Erfolgswahrscheinlichkeit.

 

Die Schwachstelle besitzt einen CVSS v3.0 Score von 8.1.

 

Da OpenSSH als Software-Komponente verwendet wird, sind diverse Software- und Hardware-Hersteller betroffen. Diese sind unten aufgeführt und werden nachgetragen:

 

Fortinet

Aktuell sind die betroffenen Fortinet Produkte noch in Beurteilung.

 

Produkte welche gemäss Fortinet nicht von der Schwachstelle betroffen sind und somit kein Update benötigen:

  • FortiOS
  • FortiProxy
  • FortiSASE
  • FortiNAC
  • FortiClient EMS
  • FortiADCManager
  • FortiDAST
  • FortiSwitchManager
  • FortiAP-U
  • FortiEDR
  • FortiCASB/FortiCNP
  • FortiPAM
  • FortiAP
  • FortiAP-S
  • FortiAP-W2
  • FortiPortal
  • FortiWLM
  • FortiMonitor
  • FortiSIEM

 

Weitere Informationen

https://fortiguard.fortinet.com/psirt/FG-IR-24-258

 

 

Cisco

Betroffene Cisco Produkte sind in folgender Liste ersichtlich.

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-openssh-rce-2024

 

Secure Email Gateway

Upgrade auf 15.0.3 (Fix verfügbar per November 2024)

 

Firepower Threat Defense (FTD) Software

Upgrade auf 7.2.8.1 (Fix verfügbar per September 2024)

 

Firepower Management Center (FMC) Software

Upgrade auf 7.2.8.1 (Fix verfügbar per September 2024)

 

Nicht betroffen von der Schwachstelle sind folgende Produkte:

  • Nexus 9000 Series Switches in standalone NX-OS mode
  • IOS XE Software with NETCONF enabled
  • Catalyst 9800 Series Wireless Controllers

 

Citrix

Betroffen sind nach aktuellem Stand Netscaler ADC und Netscaler Gateway sowie Netscaler Console.

 

Citrix empfiehlt für Netscaler ADC und Netscaler Gateway ein Update auf folgende Versionen zeitnah zu aktualisieren:

NetScaler ADC and NetScaler Gateway 14.1-25.56 and later releases

NetScaler ADC and NetScaler Gateway 13.1-53.24 and later releases of 13.1

NetScaler ADC and NetScaler Gateway 13.0-92.31 and later releases of 13.0

NetScaler ADC 13.1-FIPS 13.1-37.190 and later releases of 13.1-FIPS

NetScaler ADC 12.1-FIPS 12.1-55.309 and later releases of 12.1-FIPS

NetScaler ADC 12.1-NDcPP 12.1-55.309 and later releases of 12.1-NDcPP

 

Citrix empfiehlt für Netscaler Console ein Update auf folgende Versionen zeitnah zu aktualisieren:
NetScaler Console 14.1 Build 25.56 and later releases
NetScaler Console 13.1 Build 53.24 and later releases of 13.1
NetScaler Console 13.0 Build 92.31 and later releases of 13.0

 

 

QNAP

Betroffene Produkte: QTS 5.2.0 und QuTS hero h5.2.0

Nicht betroffene Produkte: QTS 5.1.x, 4.5.x; QuTS hero h5.1.x, h4.5.x; QuTScloud c5.x

 

Ein Update für die betroffenen Produkte wird demnächst zur Verfügung gestellt.

 

 

Allgemeine Empfehlungen

  • Sollte ein schneller Workaround notwendig sind, so gilt "Fail2ban" auf den Servern / Geräten zu konfigurieren.
  • Zudem ist das Setzen der LoginGrace Time auf 0 in der SSH-Konfiguration auch hilfreich, um das RCE zu stoppen. Dadurch wird das Gerät allerdings anfällig für DoS-Angriffe.

Gerne stehen wir Ihnen für weitere Fragen persönlich zur Verfügung. Sie erreichen direkt auf unserem Kundenportal oder unter marketing@bithawk.ch oder 058 226 01 01.

 

Cybersecurity - so wichtig wie nie!

Sind Sie ein Mitglied der Geschäftsleitung oder haben Sie einen Sitz im Verwaltungsrat? Tragen Sie Verantwortung für die Unternehmens-IT oder arbeiten Sie als Spezialist, der sich um die IT-Systeme kümmert?

Für all diese unterschiedlichen Aufgabenbereiche bietet die BitHawk AG umfassende Services an. Wir beraten Sie auf der strategischen sowie operativen Ebene und bieten umfangreiche technische Lösungen an.

Die Gefahren rund um die Cybersicherheit sind für jedes Unternehmen eine Herausforderung. Alle müssen sich in der heutigen Zeit mit dem Thema IT-Sicherheit befassen. Der Schutz der Informationstechnologie ist jedoch nicht nur eine rein technische Disziplin, sondern sollte vor allem als Prozess gedacht werden. BitHawk unterstützt Sie hier gerne mit einer vielfältigen Palette an Services und Beratungen. Dabei orientierten wir uns an etablierten Standards – etwa am IT-Grundschutz des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI) und am Cyber Security Framework des National Institute of Standards and Technology (NIST).

Wollen auch Sie den Cybersecurity-Reifegrad in Ihrer Organisation erhöhen? Dann sprechen Sie mit uns oder schauen Sie rein.

 

Weitere Themen auf unserem Blog

 

 

Themen: IT Security