Gerüchte um Zero-Day-Exploit für OpenSSH bestätigen sich nicht
Vermutlich handelt es sich bei den beobachteten Einbrüchen in einige Systeme um erfolgreiche Brute-Force-Attacken. Auch der OpenSSH-Maintainer und Entwickler Damien Miller sieht keine Hinweise auf einen Zero-Day-Exploit.
Die Gerüchte um einen möglichen Zero-Day-Exploit für eine bislang unbekannte Sicherheitslücke in älteren Versionen (4.3) von OpenSSH haben sich auch nach mehreren Tagen nicht bestätigt. Vielmehr handelt es sich bei den beobachteten Einbrüchen in einige Systeme vermutlich um erfolgreiche Brute-Force-Attacken.
Auch der OpenSSH-Maintainer und Entwickler Damien Miller glaubt nicht an einen Zero-Day-Exploit. Die Analyse eines Angriffs auf einen der betroffenen Server ließ nicht erkennen, dass eine Lücke ausgenutzt wurde, sondern zeigte nur simple Brute-Force-Attacken.
Immerhin ließ sich der US-Webhoster HostGator von den Gerüchten ins Bockshorn jagen und sperrte vorsorglich sämtliche SSH-Zugänge auf den Kundenservern, egal ob diese zur Authentifizierung Passwörter oder Public Key benutzten. Der HostGator-Support bestätigte sogar die Lücke in seinen Kundenforen und gab vor, an einem Patch zu arbeiten – was die Befürchtungen weiter nährte.
Auslöser der Spekulationen waren Postings auf Mailinglisten mit Logs von Einbrüchen der ominösen Gruppe Anti-Sec in verschiedene Server, bei der immer wieder das Tool 0pen0wn/openPWN auftauchte. Unter anderem knackte die Gruppe den Server der Sicherheitsseite astalavista.com Mitte Juni und zuletzt einen Anbieter für Server-Mangement. Auf die Aufklärungsversuche der Betreiber von Astalavista reagierte Anti-Sec, indem sie in den Server von Charalambous Glafkos, einem Mitbetreiber von Astalavista, einbrachen (Log hier). Allen Logs war zu entnehmen, dass das Tool offenbar in OpenSSH-Installation mit Version 4.3 erfolgreich einbrechen konnte.
Die Version ist beispielsweise auf CentOS/Red Hat Enterprise Linux (RHEL) anzutreffen, auch auf Debian Etch ist die aktuelle Version OpenSSH-Version 4.3. Zwar ist die Versionsnummer schon einige Jahre alt – verfügbar ist Version 5.2 –, allerdings pflegen die Entwickler Patches für ältere Versionen zurückzuportieren, sodass die Software sicherheitstechnisch durchaus auf dem aktuellen Stand ist. Auch das Red Hat Security Response Team konnte keine Lücke erkennen und fragte offiziell auf der OpenSSH-Entwickler-Mailingliste nach, wo Damien Miller dann Stellung nahm.
Zusammenfassend lässt sich feststellen, dass eine bislang unbekannte Gruppe wohl mehr oder minder gezielt in die Seiten missliebiger Personen oder anderer Gruppen eingedrungen ist. Die prahlerisch veröffentlichten Logs führten dann zu Spekulationen, aus denen durch "stille Post" und "ich kenn da jemanden der gehört hat" schließlich ein bedrohlicher Zero-Day-Exploit wurde. Viel FUD um nichts. Administratoren sollten dennoch weiterhin ihre Server und SSH-Zugänge im Auge behalten – Angriffe gibts schließlich immer.
Siehe dazu auch:
- lost+found: Missgunst, Untergrund, Datenverlust, Java
- Gerüchte um kritische Lücke in OpenSSH unter Red Hat Enterprise Linux
(dab)