Eine neu entdeckte Sicherheitslücke steckt in allen OpenSSH-Clients, die in den letzten 20 Jahren veröffentlicht wurden. Gemäß dem Prinzip 'Shit happens' wird es imho Monate bis Jahre dauern, bis diese Schwachstelle in den vielen Programmen, die auf OpenSSH aufsetzen, per Update korrigiert ist.
Anzeige
Sicherheitsforscher von Qualsys haben den Bug am 15. August 2018 auf seclists.org veröffentlicht. Das muss ich beim letzten Blick in die Liste übersehen haben, bin aber über diesen Artikel auf das Thema gestoßen.
Der Username-Enumeration-Bug
Die Entdeckung der Schwachstelle ist mal wieder Kommissar-Zufall zu verdanken. Der spezielle Fehler wurde letzte Woche von Sicherheitsforschern von Qualys in einem Commit im OpenBSDs OpenSSH-Quellcode entdeckt. Nach der Analyse des Commits stellten die Forscher fest, dass der Code versehentlich einen Sicherheitsfehler behebt, der seit seiner Erstellung im Jahr 1999 im OpenSSH-Client schlummert.
Ein OpenSSH-Server mit ungepatchter Software reagiert folgendermaßen auf OpenSSH-Authentifizierungsanfragen:
- Wenn der in der fehlerhaften Authentifizierungsanfrage enthaltene Benutzername nicht existiert, antwortet der Server mit einer fehlgeschlagenen Authentifizierung.
- Falls der in der Authentifizierungsanfrage enthaltene Benutzer existiert, schließt der Server die Verbindung ohne Antwort.
Dieser Username-Enumeration-Bug erlaubt es einem Remote-Angreifer, die auf einem OpenSSH-Server registrierten Benutzernamen zu erraten. Im Anschluss kann ein Angreifer per Brute-Force-Angriff versuchen, dass Kennwort für den oder die ermittelten Benutzernamen zu knacken.
Anzeige
Da OpenSSH mit einer Reihe von Technologien verwendet wird, die von Cloud Hosting-Servern bis hin zu IoT-Equipment reichen, sind Milliarden von Geräten betroffen. Aufgrund der großen OpenSSH-Installationsbasis ist der Bug lukrativ für Angriffe auf hochwertige Ziele, könnte aber auch das Ziel für Massenangriffe werden.
Patch und Proof of concept (PoC) verfügbar
Der Fehler (CVE-2018-15473) wurde in der stable Version von OpenSSH -1:6.7p1-1 und 1:7.7p1-1- und dem unstable Zweig 1:7.7p1-4 gepatcht. Patches sind auch für Debian und wohl für andere Linux-Distributionen verfügbar. Leider steht auch ein Proof-of-Concept-Code zum Testen, ob Server verwundbar sind, bereits an verschiedenen Stellen zur Verfügung (hier, hier und hier). Bleeping Computer verrät hier noch einige Details und gibt auch Hinweise, wie man das Ganze abschwächen kann.
Anzeige
Na ja, wer Passwörter verwendet, die sicher gegen Wörterbuch-Angriffe sind, kann sich entspannt zurück lehnen. Alle anderen konnten das auch vorher schon nicht.
Und wer zusätzlich Standardbenutzer deaktiviert oder umbenennt (soweit möglich) kann sich hinlegen…
;-)
Umbenennen!? Das Problem bei diesem Angriff ist, dass man Benutzernamen erraten kann…
Und vor allem auch, was wäre denn die Alternative? comps aus und nie mehr an.
Weil, wirklich sichere Software existiert – per se – nicht. Oder schon, dann aber nicht vernetzt. Sondern solitär auf einem Gerät laufend.
Preis für die Bequemlichkeit, diese hochkomplexe Technik nutzen zu können, das ubiquitär, ist unter anderem auch mit Sicherheitslücken zu leben.
keine Relativierung, aber Realität. Mit der man sich teils wird arrangieren müssen…
Na denne, arangiert euch, treibt weiter Industrie 4.0 voran, findet nix dabei, wenn das Groß der Apps/Anwendungen mit essentiellen Sicherheitslücken herauskommt und macht 'oh', wenn mal wieder ein Hack oder Leak passiert. Und dann zieht ihr mit der Karawane weiter, als wäre nix gewesen.
Ich empfehle nur mal einen Blick über den Schüsselrand. Schaut euch an, was momentan im Bereich des Krypto-Gelds los ist. Da werden in einem Hack Millionen an Guthaben aus Wallets oder Börsen abgezogen – obwohl das ja alles hochsicher ist.
Kleine Kostenproben:
https://www.scmp.com/news/china/society/article/2160387/chinas-biggest-ever-bitcoin-hacking-case-sees-three-held-over
https://www.bloomberg.com/news/articles/2018-06-10/bitcoin-tumbles-most-in-two-weeks-amid-south-korea-exchange-hack
Ich fürchte, wir segeln genau auf den Zustand zu, wo nur noch abschalten hilft. Und warum fällt mir aktuell Guide Westerwelle ein, der in anderem Zusammenhang den Spruch von den'dekadenten spätrömischen Verhältnissen' brachte? Aber ich bin in der Beziehung wohl zu viel Aluhut-Träger (oder durch die aktuelle Lektüre, die ich auf die letzten Entwicklungen mappe, arg beeinflusst ;-).
Zur Sache an sich: Ich blogge nicht aus Langeweile – man könnte zumindest solche Artikel zum Anlass nehmen, seine Software zu aktualisieren und zu schauen, ob die Black-Boxes, die uns die SW-Entwickler so vor die Füße werfen, so erstrebenswert sind.
Zitat:
Schaut euch an, was momentan im Bereich des Krypto-Gelds los ist. Da werden in einem Hack Millionen an Guthaben aus Wallets oder Börsen abgezogen – obwohl das ja alles hochsicher ist.
[/Zitat]
Deshalb soll ja auch Bargeld langfristig abgeschafft werden, damit der Staat mittels Streichung von ein paar Nullen (Nein, nicht die Politiker sind gemeint) der Kryptowährung sich schnell entschulden kann, siehe Venezuela. Das ganze geht dann halt auf Kosten der Sparer, daher haben wirklich reiche Leute auch kaum Barguthaben, sondern Wertpapiere, Immobilen usw. und vor allem Schulden (wg. der Steuer).
So, jetzt setze ich meinen Aluhut wieder ab und geh' zurück ans Fließband, Androidhandys für die Machtübernahme durch Google produzieren.
Außerdem sind es nicht nur eigene Daten, deren Ausspionieren man eventuell schulterzuckend hinnehmen könnte. Sondern wir alle haben wohl auch personenbezogene Daten von anderen Personen auf dem Rechner oder in unseren E-Mail-Accounts. Teilweise sogar sehr sensible. Löschen/verschlüsseln/auslagern — aber wenn etwas übersehen wurde und das wird dann durch eine Sicherheitslücke böswilligen Dritten zugänglich?
So war mein Kommentar nicht gemeint. Ich finde auch, dass die Menschheit einen falschen Weg einschlägt, sich in immer mehr Bereichen und auf immer mehr Ebenen von Netzwerken und vernetzten Rechnersystemen abhängig zu machen. Irgendwann könnte unsere Wirtschaft und Kultur durch einen Softwarefehler zusammenbrechen, den eine Malware ausnutzt. Ein KOMPLETT kollabiertes Netzwerk (welcher Art auch immer) wieder ans Laufen zu bringen dauert so lange, das der Prozess ZU LANGE benötigen könnte, um schlimme Folgen zu verhindern.
Mit den Bitcoin-Spekulanten habe ich allerdings kein Mitleid, wer sich auf sowas einlässt und in die Grütze fasst ist selber schuld.
Ich finde es auch nicht überflüssig oder gar verwerflich über solche Sicherheitsrisiken zu berichten. Aber im konkreten Fall ist die Überschrift "Alle OpenSSH-Versionen der letzten 20 Jahre unsicher" zu dick aufgetragen. Besser wäre es, wenn die Lücke nicht existieren würde, wir sind aber auch immer noch weit entfernt vom Weltuntergang.
Der heutige Blogpost "NotPetya-Infektion des Maersk-Netzwerkes" bzw. der darin verlinkte Wired-Artikel ist hingegen sehr aufschlussreich und lesenswert, besonders wenn man sich vor Augen hält, welche Folgen der Zusammenbruch des Rechner-Netzwerks nur EINES wichtigen globalen Players hatte (oder hätte haben können) und dass die Situation nur deshalb relativ zügig gerettet werden konnte, weil in einer Maersk-Zweigstelle in Ghana, die wegen eines Stromausfalls kurz vor dem NotPetya-Angriff offline ging, noch ein Backup der netzweiten Domain Controller Konfiguration vorhanden war.
huuuh, wo gab ich herrn born denn einen Grund, auch nur zu einem Viertelchen so abzugehen, wie schmidts Katze?! :D
deswegen u.a stund + steht dort: "keine Relativierung, aber Realität".
lesen hat ja schonmal geholfen. nüscht für ungut. ;)
wenn falsch rübergekommen/verstanden, dann sorry.
Bin da ansonsten gar nicht weit entfernt. Hatte aber, wie erwähnt, eig. auch nichts gegenteiliges behauptet.
Bloss, dass Software, konzeptionsbedingt, nie so ganz fehlerfrei sein wird, ist jetzt keine neue Erkenntnis. Und dass Menschleins eher von bequem, als von Vernunft angetrieben werden ebenfalls nicht. Autos oder anderes Gelumpe hätten sich ansonsten niemals in der Menge verkaufen lassen.
Dass man es bei zB. Software insgesamt besser machen könnte, trotz immer verbleibender Fehler, keine Frage. Aber dass sinnvolle Mobilität eig. auf Fahrrädern beruhen müsste-sollte-dürfte, weil, das meiste an Verkehren ist Nahbereich(!), ebenfalls nicht. Und, wie schauts in den Städten aus?
;)
Schmitz Katze haben wir wieder eingefangen ;-). Siehe es einfach als globalen Weckruf (und nicht als Vorwurf) – ich hatte den Satz 'keine Relativierung, aber Realität' schon gelesen und verstanden.
Aber ich habe in den letzten 2-3 Wochen ja einige Sicherheitsthemen im Blog. Dabei ist mir aufgefallen, dass in den Kommentaren (leider speziell auf FB) oft genau die Relativierung kommt. 'Was gibt es für Alternativen?' 'Gut, dass bei Open Source alle den Quellcode lesen und solche Fehler pronto auffallen', 'Andere sind doch aus nicht besser.' 'Ist das überhaupt relevant/ausnutzbar?' und so weiter.
Im Moment habe ich das Gefühl, ich sehe einem LKW zu, der auf eine steile Klippe zu rast und auf der Ladefläche feiert das Volk noch richtig Party. Ist bis jetzt ja noch nix passiert, wird schon gut gehen – und das, obwohl man den Abgrund schon deutlich erkennen kann. Ich hoffe für uns Alle, dass ich mir meinen Unkenrufen nicht Recht behalte.
kein Ding. :)
Und das mit der Party am Abgrund (gern) gilt ja für einige andere Dinge noch viel mehr, Beispiel Klima. Da fummelt man seit Jahrzehnten dran rum, ohne auch nur den Hauch davon wirklich begriffen zu haben. Dumm bei sehr komplexen Systemen. Oder richtiger: ziemlich dämlich…
Dann solltest Du neben dem Link zu WIRED (und deren "die Russen warn's") auch noch http://www.hexacorn.com/blog/2018/07/08/requiem-for-the-infosec-of-90s-and-2000s/ lesen und verlinken!
@Stefan Kanthak
Ich für meinen Teil habe das allgegenwärtige Russen-Bashing auch in diesem Artikel registriert und entsprechend bewertet.
Andere Aspekte, besonders die eingetretenen aber auch die mit knapper Not (Backup der Domain Controller Konfiguration in Ghana gefunden) verhinderten Folgen sind ausreichend gut angerissen, um die Phantasie des Lesers zu beflügeln.
Auch das abschließende Herunterspielen und Schönreden des Falls durch Herrn Snabe auf der Konferenz in Davos ist erwähnt. Und am Beispiel der Association of Bi-State Motor Carriers wird deutlich, dass Maersk mit seiner Nachlässigkeit in Sicherheitsfragen höchstwahrscheinlich jede Menge Kollateralschäden bei Drittfirmen verursacht hat, die dann nicht so großzügig entschädigt wurden wie einer der direkten Maersk-Kunden, der sagen konnte: "They paid me a cool million with no more than a two-minute discussion". Ein paar Millionen Dollar sind günstiger als Image-Schäden über Jahre hinaus, wenn die geschädigten Firmen die Sache an die große Glocke hängen würden.
Erster Patch ist da, siehe: https://www.heise.de/security/meldung/Updates-schliessen-19-Jahre-alte-Sicherheitsluecke-in-Remote-Tool-OpenSSH-4144267.html
bei einer user-password-Authentication ist der Benutzername immer schon der schwächere Teil. Nicht zuletzt, weil er immer im Klartext (anstatt "Sternchen") angezeigt wird.
Natürlich ist das jetzt doof für Leute, die "ich benenne root um, dann kann mir nichts [/weniger] passieren" betreiben, aber letztlich eher eine 4 auf der Skala von 1-10.
"Echt" problematisch wäre, wenn die Passwortauthentifizierung aushebelbar wäre oder das Passwort versehentlich nur 5 Zeichen prüfen würde.
Außerdem nutzt ja ohnehin jeder Zertifikate :-)
Apropos: dauert ein Abweisen bei falschem Benutzer gleich lang wie bei falschem Passwort oder sind hier Seitenkanalangriffe möglich? Wie sieht es bei Passwörtern verschiedener Länge aus?