Die OpenSSH-Entwickler haben kürzlich die Version 9.3p2 veröffentlicht, welche eine als hochriskant eingestufte Sicherheitslücke schließt.
Diese neue Version der Verschlüsselungs-Suite und Tool-Sammlung OpenSSH behebt eine hochriskante Schwachstelle. Diese wurde vom Warn- und Informationsdienst des Bundesamts für Sicherheit in der Informationstechnik (WID-BSI) als besonders kritisch bewertet.
Das Problem kommt von einer unzureichenden Behebung der Schwachstelle CVE-2016-10009 (CVSS 7.3, Risiko „hoch“), die ursprünglich bereits in OpenSSH 7.4 im Jahr 2017 hätte behoben werden sollen. Die PKCS#11-Funktion im ssh-agent von OpenSSH vor Version 9.3p2 wendet einen nicht vertrauenswürdigen Suchpfad an, wodurch es Cyberkriminellen ermöglicht wird, Schadcode einzuschleusen und auszuführen, wenn der ssh-agent an ein von Cyberkriminellen kontrolliertes System weitergeleitet wird (CVE-2023-38408, CVSS nach WID-BSI 8.1, Risiko „hoch“).
Bestimmte Voraussetzungen erforderlich, um die OpenSSH- Sicherheitslücke ausnutzen zu können
Der Missbrauch der Lücke erfordert bestimmte Voraussetzungen. Darunter das Vorhandensein bestimmter, aber nicht näher spezifizierter Bibliotheken auf dem betroffenen System des Geschädigten. Zusätzlich müssen Cyberkriminelle den Agenten auf ein von ihnen kontrolliertes System umleiten, um die Schwachstelle aus der Ferne ausnutzen zu können. Dies wurde von den OpenSSH-Entwicklern in der Versionsankündigung bekannt gegeben.
Als Gegenmaßnahme empfehlen die Entwickler den ssh-agent mit einer leeren PKCS#11/FIDO-Allowlist zu starten, zum Beispiel mit dem Befehl „ssh-agent -P ““, oder die Konfiguration einer Allowlist, die ausschließlich bestimmte Provider-Bibliotheken beinhaltet.
Die IT-Sicherheitsforscher von Qualys haben eine detaillierte Analyse der Sicherheitslücke herausgegeben. Um den Missbrauch zu stoppen, haben die OpenSSH-Entwickler das Laden von PKCS#11-Modulen durch Remote-Clients verboten. Bei Bedarf lässt sich diese Funktion jedoch mit einem bestimmten Flag beim Programmaufruf (-Oallow-remote-pkcs11) aktivieren.
Administratoren können die aktualisierte Software als Quellen beispielsweise über git herunterladen oder über die Portable-Release-Webseite des OpenSSH-Projekts. Die Software steht für mehrere Betriebssysteme zur Verfügung. Linux-Distributionen werden die Updates über ihre Software-Verwaltung teilen. Es wird empfohlen, dass IT-Verantwortliche prüfen, ob bereits Updates für ihre Systeme zur Verfügung stehen, und diese umgehend installieren.
Bereits Ende März hatten die OpenSSH-Entwickler die Version 9.3 der Software veröffentlicht, in der sie bereits zwei Schwachstellen geschlossen und weitere kleinere Fehler ausgebessert hatten.