Der amerikanische Security-Anbieter Qualys meldet eine der "bedeutensten Entdeckungen von Sicherheitslücken seit Jahren". Die "Regresshion" genannte Lücke (CVE-2024-6387) erlaubt Angreifern den Fernzugriff und die Ausführung beliebigen Codes "mit den höchsten Privilegien". Qualys vergleicht Regresshion mit der Javalücke
Log4shell, über die viel Schaden angerichtet worden ist.
Besonders kritisch sei Regresshion für Unternehmen, die "sich bei der Verwaltung von Remote-Servern stark auf OpenSSH verlassen", erklärt Qualys. Der Anbieter schreibt von 14 Millionen potenziell verwundbare OpenSSH-Serverinstanzen.
Erfolgreiche Wiederbelebung
Die Lücke tauchte erstmals im Jahr 2006 auf und sei von den Sicherheitsforschern "wiederbelebt" worden, heisst es bei '
Heise'. Daher rührt auch der Name: Von Regression spricht man in der Softwareentwicklung, wenn bereits behobene Fehler durch Änderungen am Code wieder auftauchen.
- OpenSSH-Versionen vor 4.4p1, sofern sie nicht gegen CVE-2006-5051 und CVE-2008-4109 gepatcht sind.
- OpenSSH-Versionen 8.5p1 bis 9.8. Nicht betroffen ist Version 9.8p1.
Die Ausnützung dieser Lücke soll komplex sein, heisst es in verschiedenen Medienberichten und Einschätzungen von Experten. Es könne "mehr als acht Stunden, aber weniger als eine Woche dauern, bis Angreifer Root-Rechte erlangen", weiss 'Heise'. Offenbar sind ausserdem aktuell nur Glibc-basierte Systeme erfolgreich angreifbar. Die Lücken sofort zu patchen, ist wohl dennoch eine gute Idee.