Betriebsmeldung - 04 Juli 2024 Schutz vor regreSSHion: Sperrung externer SSH-Verbindungen
Sehr geehrte Damen und Herren,
wie Sie sicherlich bereits den Medien entnommen haben [1,2], sind ungepatchte SSH-Instanzen derzeit einem stark erhöhten Risiko ausgesetzt. Die Schwachstelle mit dem Namen regreSSHion ermöglicht es nicht authentifizierten Angreifern, über das Netzwerk beliebigen Code auf verwundbaren Rechnern mit Systemrechten auszuführen. Unsere Scans haben ergeben, dass eine große Anzahl von Systemen im Adressbereich der Universität anfällig zu sein scheint.
Deshalb wird der Zugriff auf Port 22 von außerhalb des BelWue-Netzwerks vorübergehend gesperrt.
Damit werden Angriffe, aber auch reguläre Verbindungen von außen nicht mehr möglich sein. Bitte nutzen Sie für externe Zugriffe auf SSH das universitäre VPN. Sollten Sie unbedingt einen Zugriff per SSH von außen ohne VPN benötigen, wenden Sie sich bitte per Mail an uns.
Wir werden die Administratoren der betroffenen Systeme noch einmal gesondert informieren. Wenn Sie bereits wissen oder vermuten, dass Ihre Systeme die verwundbaren OpenSSH-Versionen (siehe Links) verwenden und aus dem Internet erreichbar sind, empfehlen wir Ihnen folgende Maßnahmen, bevor wir den Port wieder freischalten:
- Sofortiges Update: Installieren Sie sofort die neuesten Sicherheitsupdates für OpenSSH, die von den Entwicklern zur Verfügung gestellt werden.
- Überprüfung der Systeme: Überprüfen Sie Ihre Systeme auf Anzeichen eines möglichen Angriffs. Achten Sie insbesondere auf ungewöhnliche Aktivitäten in den Logs.
- Firewall einrichten: Überlegen Sie, von wo aus der Zugriff auf die verschiedenen Dienste möglich sein muss und passen Sie die Firewall-Regeln entsprechend an. Im Optimalfall so dass das System per SSH nicht mehr weltweit, sondern z.B. nur noch aus dem Universitätsnetz erreichbar ist.
Wir bitten um Verständnis für diese drastische, aber unumgängliche Maßnahme. Der Verlust der Integrität und damit der Vertrauenswürdigkeit der verwundbaren Systeme sowie die Gefahren und Aufwände durch vermutlich eingeschleuste APTs müssen unbedingt vermieden werden.
Bei Fragen oder Hinweisen stehen wir Ihnen gerne per Mail zur Verfügung.
Mir freundlichen Grüßen
IT-Sicherheit
[1] https://bwinfosec.de/news/cve20246387/
[2] https://www.heise.de/news/RegreSSHion-Sicherheitsluecke-in-OpenSSH-gibt-geduldigen-Angreifern-Root-Rechte-9784976.html