Eine schwerwiegende Anfälligkeit in der Bibliothek libssh, die für das Authentifizierungsprotokoll Secure Shell (SSH) benötigt wird, macht derzeit Tausende Enterprise-Server angreifbar. Der Fehler erlaubt es, den Anmeldevorgang zu umgehen und eine SSH-Verbindung zu einem Server herzustellen – ohne Kenntnis von Benutzername und Passwort.
Entdeckt wurde die Schwachstelle mit der Kennung CVE-2018-10933 von Peter Winter-Smith von der NCC Group. Sie wurde offenbar mit der Version 0.6.0 von libssh eingeführt, und zwar im Januar 2014. Seit gestern stehen die fehlerbereinigten Versionen 0.8.4 und 0.7.6 zur Verfügung.
Basierend auf Zahlen der Geräte-Suchmaschine Shodan geht Amit Serper, Head of Security Research bei Cybereason davon aus, dass mindestens 3000 Server weltweit betroffen sind. Die Zahl ist nicht deutlich größer, da die meisten Server die Secure Shell mithilfe der Bibliothek openssh implementieren – und nicht mit libssh.
Eine Seite, die libssh einsetzt, ist GitHub. Deren Sicherheitsteam betont jedoch, man sei nicht betroffen. GitHub verwende libssh lediglich für eine alternative SSH-Anmelde-Methode für Enterprise-Kunden. Wäre GitHub jedoch betroffen, könnten sich Hacker Zugriff zu Quellcode und geistigem Eigentum einiger der größten Firmen weltweit verschaffen.
Anzumerken ist zudem, dass die Anfälligkeit nur im serverseitigen Code der Bibliothek steckt. Nutzer, die einen auf libssh basierten SSH-Client installiert haben, sind nicht angreifbar – außer, der Client ist so konfiguriert, dass es auch als Server fungieren kann. Zudem sind bisher keine Exploits für die Schwachstelle verfügbar. Nach Offenlegung aller Details könnte sich das jedoch schon bald ändern.
Im Rahmen der von techconsult im Auftrag von ownCloud und IBM durchgeführten Studie wurde das Filesharing in deutschen Unternehmen ab 500 Mitarbeitern im Kontext organisatorischer, technischer und sicherheitsrelevanter Aspekte untersucht, um gegenwärtige Zustände, Bedürfnisse und Optimierungspotentiale aufzuzeigen. Jetzt herunterladen!
PDF-Bearbeitungssoftware jetzt im Black Friday Sale mit 50 Prozent Rabatt!
ISG untersucht deutschen Workplace-Services-Markt. Digital Employee Experience (DEX) gilt als Schlüssel für neues Wachstum.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.