Das Ganze geht bereits seit Tagen durchs Web. In der Secure Shell (SSH)-Implementierungsbibliothek Libssh wurde eine schwere, vier Jahre alte, Schwachstelle entdeckt. Diese ermöglicht es Angreifern sich ohne das Passwort zu kennen, an anfälligen Servern anzumelden und die uneingeschränkte administrative Kontrolle zu erhalten.
Anzeige
Die Sicherheitslücke CVE-2018-10933 steckt in Libssh Version 0.6, die Anfang 2014 veröffentlicht wurde. Laut CVE-Eintrag sind alle Libssh-Versionen vor 0.7.6 und 0.8.4 als betroffen anzusehen. Ein Implementierungsfehler ermöglicht es, sich ohne Passwort an anfälligen Servern anzumelden.
Der Implementierungsfehler
Laut einem Sicherheitshinweis muss ein Angreifer lediglich eine "SSH2_MSG_USERAUTH_SUCCESS"-Nachricht an einen Server mit aktivierter SSH-Verbindung senden, wenn er eine "SSH2_MSG_USERAUTH_REQUEST"-Nachricht erwartet. Aufgrund eines logischen Fehlers in libssh kann die Bibliothek nicht überprüfen, ob das eingehende "successful login"-Paket vom Server oder vom Client gesendet wurde, und auch nicht überprüfen, ob der Authentifizierungsprozess abgeschlossen ist oder nicht.
Betrifft nicht OpenSSH und die GitHub-Implementierung
Das betrifft zwar potentiell Tausende von Unternehmensservern, die für Hacker offen standen. Aber weder die weit verbreitete OpenSSH- noch Githubs eigene Implementierung von libssh sind von der Schwachstelle betroffen. GitHub verwendet zwar libssh, schreibt aber, dass seine offizielle Website und GitHub Enterprise nicht von der Schwachstelle betroffen seien.
We use a custom version of libssh; SSH2_MSG_USERAUTH_SUCCESS with libssh server is not relied upon for pubkey-based auth, which is what we use the library for. Patches have been applied out of an abundance of caution, but GHE was never vulnerable to CVE-2018-10933.
— GitHub Security (@GitHubSecurity) 17. Oktober 2018
Anzeige
Der Fehler wurde von Peter Winter-Smith von der NCC Group entdeckt. Dieser meldete das Problem an den Entwickler von Libssh. Das Libssh-Team hat das Problem mit der Veröffentlichung der libssh-Versionen 0.8.4 und 0.7.6 behoben, und die Details der Schwachstelle gleichzeitig veröffentlicht.
Anbieter wie Redhat haben Sicherheitshinweise veröffentlicht. Wer Libssh auf einem Webserver installiert hat, sollte die aktualisierten Versionen von Libssh so schnell als möglich zu installieren. Weitere Hinweise finden sich z.B. bei The Hacker News.
Anzeige
Sophos UTM/XG sind übrigens nicht von der Lücke betroffen: https://www.sult.eu/2018/10/17/libssh-cve-2018-10933-sophos-utm-xg-nicht-betroffen/