Eine schwerwiegende Race-Condition-Schwachstelle wurde in der Art und Weise entdeckt, wie der OpenSSH-Server (sshd) mit Signalen umgeht. Betroffen sind Systeme mit AlmaLinux 9 und CentOS 9. Wenn ein entfernter Benutzer eine Verbindung initiiert, sich aber nicht innerhalb einer bestimmten Zeitspanne authentifiziert, wird das Signal SIGALRM asynchron ausgelöst. Kritisch ist, dass der Signalhandler Funktionen wie syslog() aufruft, die in diesem Zusammenhang nicht sicher zu verwenden sind. Infolgedessen könnte eine erfolgreiche Ausnutzung die Remotecodeausführung (RCE) durch einen unprivilegierten Angreifer ermöglichen – eine erhebliche Bedrohung für die Serversicherheit.

Dieses Problem betrifft Hosts, auf denen OpenSSH Version 8.7p1-43.el9 läuft, einschließlich solcher, die CentOS Linux 9 verwenden. Die Schwachstelle, identifiziert als CVE-2024-6409, wird im Changelog des OpenSSH-Builds erwähnt. Es ist wichtig anzumerken, dass Sicherheitsscanner wie Nessus die Schwachstelle möglicherweise nicht direkt überprüfen, sondern stattdessen Berichte auf der Grundlage der erkannten Softwareversionen erstellen.

Was ist gefährdet?

OpenSSH ist einer der am häufigsten genutzten Dienste auf Linux-Servern für die sichere Fernverwaltung. Eine Sicherheitslücke in seinem Kern-Daemon (sshd) gefährdet alle Fernzugriffs- und Automatisierungssysteme.

Ein Beispiel für ein betroffenes System zeigt die installierte verwundbare Paketversion:

[root@lshost4 ~]# rpm -qa | grep openssh-server
openssh-server-8.7p1-43.el9.alma.2.x86_64

Empfohlene Aktion

Wenn Sie AlmaLinux 9, CentOS 9 oder ein Derivat mit OpenSSH Version 8.7p1-43.el9 verwenden, sollten Sie sofort auf eine sichere Version aktualisieren – openssh-8.7p1-45.el9 oder neuer.

Update-Prozedur

So überprüfen Sie Ihre installierte OpenSSH-Version:

rpm -qa | grep openssh-server

Um das Update anzuwenden:

sudo dnf update openssh

Nach der Aktualisierung starten Sie den SSH-Dienst neu:

sudo systemctl restart sshd

Bestätigen Sie schließlich die neue Version:

rpm -qa | grep openssh-server

Zusätzlicher Tipp zur Schadensbegrenzung: Überprüfen der LoginGraceTime-Einstellung

Als zusätzlichen Schritt können Sie Ihre SSH-Konfiguration manuell überprüfen, indem Sie Folgendes ausführen

nano /etc/ssh/sshd_config

Suchen Sie in der Datei nach der Zeile:

#LoginGraceTime 0

Diese Direktive steuert, wie lange der SSH-Daemon auf die Authentifizierung eines Benutzers wartet. Die Anpassung dieser Einstellung kann dazu beitragen, die Angriffsfläche zu verringern, indem das zulässige Verbindungsfenster für nicht authentifizierte Clients minimiert wird.

Von AvaHost überwachte Server

Wenn Ihre Server von AvaHost überwacht werden, haben wir die betroffenen Systeme bereits identifiziert. So läuft beispielsweise auf dem Server lshost4.alexhost.com die anfällige Version und muss aktualisiert werden.

Schlussfolgerung

Diese Sicherheitslücke stellt eine reale und gegenwärtige Gefahr für ungepatchte Systeme dar. Wir raten allen Administratoren dringend, ihre OpenSSH-Installation unverzüglich zu überprüfen und zu aktualisieren. Das Risiko der Remote-Code-Ausführung kann nicht hoch genug eingeschätzt werden, insbesondere auf öffentlich zugänglichen Infrastrukturen.

Detaillierte technische Informationen finden Sie im offiziellen CVE-Eintrag:
🔗 CVE-2024-6409 – NIST
🔗 Nessus Report

Bleiben Sie sicher – halten Sie Ihre Systeme gepatcht und überwacht.