En alvorlig sårbarhed har set dagens lys i Secure Shell (SSH)-implementeringen libssh. Sårbarheden har gjort det muligt for en angriber at opnå uhindret administrator-adgang til et påvirket system.
Det oplyser blandt andet Ars Technica.
Som bekendt bliver SSH-protokollen brugt i mange sammenhænge, men sårbarheden vedrører kun libssh-implementeringen. Det vil sige, at eksempelvis OpenSSH ikke er berørt.
Sårbarheden i libssh, der har fået navnet CVE-2018-10933, gør det muligt at omgå autentifikations-processen ved login på en berørt server.
Af en sikkerhedsmeddelelse hos libssh.org fremgår det, at sårbarheden har gjort det muligt at omgå autentifikationen ved at sende beskeden 'SSH2_MSG_USERAUTH_SUCCESS' til en server i stedet for 'SSH2_MSG_USERAUTH_REQUEST'.
Sårbarheden blev introduceret i libssh version 0.6, som blev publiceret i 2014.
For at hullet har kunnet udnyttes skal den sårbare udgave af libssh have kørt i server-tilstand.
Hullet er nu patched, og berørte brugere bør selvfølgeligt opdatere.
Github bruger libssh, men er ikke ramt
Det er uvist, hvor mange enheder og servere, der er ramt af sårbarheden.
Ars Technica oplyser, at en søgning på sårbarhedsscanneren Shodan.io viser, at 6.351 sites anvender libssh. Mediet bemærker i den forbindelse, at sådan en søgning ikke er udtømmende.
Kode-sitet Github anvender libssh, men er ifølge en meddelelse fra organisationen på Twitter alligevel ikke ramt af sårbarheden. Forklaringen skulle være, at Github anvender en tilpasset udgave af libssh.
We use a custom version of libssh; SSH2_MSG_USERAUTH_SUCCESS with libssh server is not relied upon for pubkey-based auth, which is what we use the library for. Patches have been applied out of an abundance of caution, but GHE was never vulnerable to CVE-2018-10933.
I sager som denne kan det være svært at sige noget generelt om, i hvor høj grad hullet er blevet udnyttet - hvis det overhovedet er sket. Såfremt nogen har udnyttet hullet, så kan det, som Ars Technica bemærker, have nærmest uoverskuelige sikkerhedsmæssige konsekvenser.
Mediet opfordrer i den forbindelse alle, der har kørt med en sårbar udgave af libssh i server-tilstand til at gennemføre en grundig audit af netværket.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
