Gefährliche Sicherheitslücke Wahrscheinlich nur ein Schwindel

Eine Behauptung einer Software-Schwachstelle in einem Programm, das sicher mit Servern über das Internet verbunden ist, ist wahrscheinlich ein Scherz, nach einem Analyst mit dem SANS Internet Storm Center.

Das Programm, genannt OpenSSH (Secure Shell) auf Dutzenden von Servern von Herstellern wie Red Hat, Hewlett-Packard, Apple und IBM installiert. Es wird von Administratoren verwendet, um verschlüsselte Verbindungen mit anderen Computern herzustellen und Aufgaben wie die Fernaktualisierung von Dateien auszuführen. OpenSSH ist die Open-Source-Version, und es gibt kommerzielle Versionen des Programms.

Anfang dieser Woche erhielt SANS eine anonyme E-Mail mit der Behauptung einer Zero-Day-Lücke in OpenSSH, was bedeutet, dass bereits ein Fehler in der Software vorliegt ausgebeutet werden, wie es öffentlich wird. Es ist die gefährlichste Art von Software-Schwachstelle, da es noch keine Lösung dafür gibt und die Bösen davon wissen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Eine echte Zero-Day-Schwachstelle in OpenSSH könnte für das Internet verheerend sein, was Hackern erlaubt, Zugang zu Servern und PCs zu haben, bis eine Umgehung oder ein Patch vorbereitet wird.

"Deshalb denke ich, dass die Leute tatsächlich ziemlich viel Panik erzeugen", sagte Bojan Zdrnja, ein SANS-Analyst und Senior Information Security Consultant bei Infigo, einem Unternehmen für Sicherheit und Penetrationstests in Zagreb, Kroatien. "Die Leute sollten jetzt nicht in Panik geraten. Nichts weist zu diesem Zeitpunkt darauf hin, dass in der Wildnis ein Exploit eingesetzt wird."

Der Beweis für eine echte Zero-Day-Schwachstelle in OpenSSH ist schwach, sagte Zdrnja. Bisher haben Analysten keinen funktionierenden Exploit gesehen, trotz der Befürchtungen, dass eine Gruppe namens Anti-Sec einen Zero-Day gefunden hat, der es ihnen ermöglicht, einen Webserver zu kontrollieren. Details zu dem Hack wurden auf Full Disclosure gepostet, einem unmoderierten Forum für Sicherheitsinformationen.

Als man nach mehr Details verlangte, schrieb eine Person, die behauptete, Teil von Anti-Sec zu sein, eine E-Mail an den IDG News Service Es ist mir nicht erlaubt, den Exploit tatsächlich zu diskutieren (oder ob er existiert oder nicht), der "Anonymous" signiert wurde.

Zdrnja sagte, die gleiche Gruppe habe kürzlich einen anderen Server kompromittiert, aber es schien ein Brute-Force-Angriff zu sein OpenSSH. Bei einem Brute-Force-Angriff versucht ein Hacker viele Kombinationen von Authentifizierungsdaten, um Zugang zu einem Server zu erhalten. Wenn ein Administrator einfache Logins und Passwörter verwendet, macht es einen Server anfälliger für einen Brute-Force-Angriff, sagte Zdrnja.

Beide kompromittierten Server wurden von derselben Person ausgeführt. "Ich nehme an, wir haben es hier mit zwei Hackern in einem Krieg zwischen ihnen zu tun", sagte Zdrnja.

Aber es gibt noch andere Faktoren, die auf einen Zero-Day für OpenSSH hindeuten. Wenn es den Zero-Day gäbe, würden Hacker es wahrscheinlich eher gegen einen Server mit höherem Profil verwenden als den letzten, der kompromittiert wurde, sagte Zdrnja.

Auch einer von OpenSSHs Entwicklern, Damien Miller, warf kaltes Wasser auf die Möglichkeit eines Zero-Day. Miller schrieb am Mittwoch in einem OpenSSH-Forum, dass er E-Mails mit einem mutmaßlichen Opfer des Zero-Day tauschte, aber die Angriffe schienen "einfach brutal" zu sein.

"Also bin ich nicht davon überzeugt, dass a Zero-Day existiert überhaupt ", schrieb Miller. "Die einzigen Beweise, die bis jetzt vorliegen, sind einige anonyme Gerüchte und nicht verifizierbare Intrusionsprotokolle."

Es scheint auch einige Verwirrung zwischen dem angeblichen Zero-Day und einer anderen Schwachstelle in OpenSSH zu geben, sagte Zdrnja. Diese Sicherheitslücke, die noch nicht gepatcht wurde, könnte es einem Angreifer erlauben, bis zu 32 Bit Klartext aus einem willkürlichen Chiffretextblock von einer Verbindung wiederherzustellen, die unter Verwendung des SSH-Protokolls in der Standardkonfiguration gesichert wurde. s Zentrum für den Schutz der nationalen Infrastruktur (CPNI).

Der Schweregrad der Sicherheitslücke wird als hoch angesehen, aber die Wahrscheinlichkeit einer erfolgreichen Nutzung ist laut CPNI gering. Zdrnja sagte, dass Administratoren in OpenSSH stärkere Authentifizierungsmechanismen mit öffentlichen und privaten Schlüsseln implementieren können, um einen erfolgreichen Angriff zu verhindern. In einem Gutachten gab OpenSSH auch an, dass die Möglichkeit eines erfolgreichen Angriffs gering war.