Cisco hat eine Sicherheitswarnung zu einer kritischen Schwachstelle veröffentlicht, die Remote Code Execution (RCE) ermöglicht und mehrere Produkte betrifft. Die Schwachstelle, als „regreSSHion“ bezeichnet und unter CVE-2024-6387 geführt, wurde von der Qualys Threat Research Unit am 1. Juli 2024 offengelegt. Sie betrifft den OpenSSH-Server (sshd) in glibc-basierten Linux-Systemen und ermöglicht es Angreifern, root-Zugriff auf betroffene Systeme zu erlangen.
Details zur Schwachstelle
Die regreSSHion-Schwachstelle ist eine Regression eines älteren Fehlers (CVE-2006-5051), der in der OpenSSH-Version 8.5p1, die im Oktober 2020 veröffentlicht wurde, wieder eingeführt wurde. Der Fehler betrifft eine Race Condition im SIGALRM-Handler von sshd, der Funktionen aufruft, die nicht async-signal-sicher sind, wie beispielsweise syslog().
Ein Angreifer kann diese Schwachstelle ausnutzen, indem er mehrere Verbindungen öffnet und sich innerhalb der LoginGraceTime-Periode nicht authentifiziert, wodurch der anfällige Signal-Handler asynchron ausgelöst wird.
Betroffene Produkte
Cisco hat mehrere Produkte identifiziert, die von dieser Schwachstelle betroffen sind. Das Unternehmen untersucht derzeit das gesamte Produktsortiment, um den vollen Umfang der betroffenen Geräte festzustellen. Die folgende Tabelle listet die betroffenen Produkte und ihre jeweiligen Cisco-Bug-IDs auf:
| Produktkategorie | Produktname | Cisco Bug ID | Verfügbarkeit der behobenen Version |
|---|---|---|---|
| Netzwerk- und Inhaltssicherheitsgeräte | Adaptive Security Appliance (ASA) Software | CSCwk61618 | |
| Firepower Management Center (FMC) Software | CSCwk61618 | ||
| Firepower Threat Defense (FTD) Software | CSCwk61618 | ||
| FXOS Firepower Chassis Manager | CSCwk62297 | ||
| Identity Services Engine (ISE) | CSCwk61938 | ||
| Secure Network Analytics | CSCwk62315 | ||
| Netzwerkmanagement und -bereitstellung | Crosswork Data Gateway | CSCwk62311 | 7.0.0 (Aug 2024) |
| Cyber Vision | CSCwk62289 | ||
| DNA Spaces Connector | CSCwk62273 | ||
| Prime Infrastructure | CSCwk62276 | ||
| Smart Software Manager On-Prem | CSCwk62288 | ||
| Virtualized Infrastructure Manager | CSCwk62277 | ||
| Routing und Switching – Enterprise und Service Provider | ASR 5000 Series Routers | CSCwk62248 | |
| Nexus 3000 Series Switches | CSCwk61235 | ||
| Nexus 9000 Series Switches im Standalone NX-OS-Modus | CSCwk61235 | ||
| Unified Computing | Intersight Virtual Appliance | CSCwk63145 | |
| Sprach- und Unified-Communications-Geräte | Emergency Responder | CSCwk63694 | |
| Unified Communications Manager | CSCwk62318 | ||
| Unified Communications Manager IM & Presence Service | CSCwk63634 | ||
| Unity Connection | CSCwk63494 | ||
| Video-, Streaming-, TelePresence- und Transcoding-Geräte | Cisco Meeting Server | CSCwk62286 | SMU – CMS 3.9.2 (Aug 2024) |
Maßnahmen und Empfehlungen
Cisco empfiehlt mehrere Schritte, um das Risiko einer Ausnutzung zu mindern:
- SSH-Zugang einschränken: Begrenzen Sie den SSH-Zugang auf vertrauenswürdige Hosts. Dies kann durch das Anwenden von Infrastruktur-Access-Control-Listen (ACLs) erreicht werden, um unbefugten Zugriff auf SSH-Dienste zu verhindern.
- OpenSSH aktualisieren: Aktualisieren Sie auf die neueste gepatchte Version von OpenSSH (9.8p1), sobald diese in den Paket-Repositories der Linux-Distributionen verfügbar ist.
- LoginGraceTime anpassen: Setzen Sie den Parameter LoginGraceTime in der sshd-Konfigurationsdatei auf 0, um die Race Condition zu verhindern. Dies kann jedoch zu Denial-of-Service führen, wenn alle Verbindungsslots belegt sind.
Das Cisco Product Security Incident Response Team (PSIRT) weiß, dass ein Proof-of-Concept-Exploitcode für diese Schwachstelle verfügbar ist. Die Ausnutzung erfordert jedoch Anpassungen, und es wurden keine Berichte über böswillige Nutzung gemeldet.
Cisco bewertet weiterhin alle Produkte und Dienstleistungen hinsichtlich der Auswirkungen und wird die Sicherheitswarnung aktualisieren, sobald neue Informationen verfügbar sind.
Die regreSSHion-Schwachstelle stellt ein erhebliches Risiko für eine Vielzahl von Cisco-Produkten dar. Kunden wird dringend empfohlen, den Empfehlungen von Cisco zu folgen und die notwendigen Patches und Maßnahmen zu ergreifen, um ihre Systeme vor potenziellen Ausnutzungen zu schützen.
