OpenSSH zero-day root exploit! ...of niet?

Deze week was er in de technische hoeken van het internet vrij veel buzz rond een 0-day exploit voor OpenSSH. Een definitief oordeel is er nog niet, en we volgen dit op de voet, maar toch willen we onze klanten hierover informeren. Valt er eigenlijk wel iets te informeren?

Hoe erg is het?

Een 0-day exploit in het OpenSSH pakket is zeer ernstig. Zeer zeer zeer ernstig zelfs. Een fout in de basissoftware die ons dagelijks toelaat onze systemen te beheren betekent een kleine ramp voor Openminds.

OpenSSH is de standaard die gebruikt wordt om toegang tot machines te krijgen vanop afstand, en laat ons toe om onze dagelijkse beheerstaken uit te voeren: nieuwe accounts maken, instellingen wijzigen, systemen controleren,... quasi alles gebeurt, of maakt gebruik van SSH. Elke machine heeft het geïnstalleerd, en het is een noodzakelijk stuk software op servers.

De "0-day" wijst op het feit dat de fout nog maar recent gevonden werd, en dat er dus vermoedelijk nog geen oplossing voor is. En deze opzet is nog een tikje ernstiger: de hacker heeft de "Proof" niet online gezet, en dus weet niemand waar de fout precies zit. Het enige wat online gezet is, is een bewerkte log van een hack-sessie.

Paniek! Vrouwen en kinderen eerst! *gil*

Ho maar! Alhoewel dit zeer ernstig kan zijn, hebben we vanaf dag één zo wat onze reservaties gehad. Het ontbreken van het bewijs, het feit dat dit maar op één blog verschijnt, het feit dat er geen extra hacks gebeuren,... allemaal wat vreemd. De bewerkte log geeft ook geen echt bewijs (er staan zelfs fouten in, maar dit kan komen door het bewerken), het feit dat de hack tegen een zeer kleine website gebruikt is, en het uitblijven van reacties uit de normale hoeken (gekende security-instellingen, CERT-instanties of OpenSSH zelf) voelt wat vreemd aan.

Verder hebben we natuurlijk niet stilgezeten. We volgen deze zaak op de voet, we hebben vervangingspakketten klaarstaan, en we hebben dit al uitvoerig besproken en ge-analyseerd. Verder is het niet de eerste keer dat we heel snel een groot aantal servers moeten aanpassen.

Maar, en Hostgater dan...

Goede vraag! Voor de onwetenden: HostGator is een grotere hoster in de US, en die kort na het bekend worden van de eerste log alle SSH-toegang hebben afgesloten. Verder claimen ze over bewijs te beschikken en aan een oplossing voor het probleem te werken (een patch dus). Jammer genoeg maken ze niets van deze claims waar. Er is geen communicatie van HostGator naar de makers van OpenSSH, het bewijs wordt niet openbaar gemaakt, en de SSH-toegang blijft, ondanks hun oplossing, slechts beperkt toegankelijk. De thread in kwestie kan je hier lezen (update: de patch zelf blijkt ook geen patch van SSH maar een aanpassing van de config files).

Er waren recent ook nog enkele andere hacks bij providers/hosters, maar die waren, voor zover we weten, allemaal via andere software, en had niks met SSH te maken.

Wat nu?

Geen idee! We kunnen jullie in deze zaak niet van duidelijk advies voorzien. We zijn zelf minder en minder overtuigd van de claim, en samen met ons ongeveer het hele internet, maar we voorzien ons wel op het feit dat het misschien wel eens waar kan zijn. Aangezien het echter niet geweten is wat de fout zou zijn, is het afwachten geblazen.

We raden jullie natuurlijk aan om jullie systemen up-to-date te houden (en niet enkel voor SSH). Ook via onze Twitter en deze blog zullen we jullie op de hoogte houden mocht er nieuwe informatie beschikbaar komen.

Op de blog van het toonaangevende SANS Internet Storm Center, was er deze morgen deze comment, die misschien nog het best van al de situatie samenvat:

It does sound like OpenSSH has a vulnerability here: "... this was even enough for some web hosting companies to *shut down* their SSH service ..." Someone perpetrated a successful DDoS attack against OpenSSH servers. Of course, the vulnerability was in the operators, not the software. The technique used was social engineering. It's hard to patch OpenSSH against that.

Misschien is er wel helemaal geen inbraak gebeurd op basis van OpenSSH, en was het enkel de bedoeling om OpenSSH bij een groot aantal providers uit te schakelen. Denial of Service aanvallen via social engineering blijken eens te meer zeer succesvol.