Welche Server von Bedeutung haben einen dauerhaften offenen SSH Port nach außen? Heutzutage nutzt man VPN inkl. Jump-Server!

Gruss
printf

"Es geht dabei um einen sehr trickreichen Angriff, der nicht direkt am sshd stattfand, sondern über ein Kompressionsprogramm xz, genauer gesagt, dessen Programmbibliothek, in das eine Hintertür eingebaut war, die aber nur aktiviert wurde, wenn es als Teil des sshd lief und dann erlaubte, schon beim Schlüsseltausch, also lange vor der Authentifikation, Schadcode einzuschleusen.
[...]
Das nun wieder war möglich, weil der Code sehr gut getarnt war. Soweit ich das bisher gelesen habe, war die Backdoor nicht im Quelltext lesbar, sondern in Testdaten [...] war wohl eine vorcompilierte Bibliothek versteckt, die man dann eingebunden hat, weshalb die Backdoor nirgends im Quelltext auftauchte."

Der Satz von Danisch ist ziemlich verschachtelt, vielleicht verstehe ich was falsch. Mir leuchtet z.B. nicht ein, wieso in den Testdaten eine vorkompilierte Bibliothek herumliegt (vermutlich getarnt als Testdatei), das ist alles seltsam und eigentlich auffällig, würde man aber eben nicht bemerken, wenn man nur den Code durchschaut. Die lzma-Lib wird sicherlich nicht so aufmerksam überwacht, wie die ssh-Komponenten und auf die Idee, eine vermeintliche Testdatei als Bibliothek dazuzuladen, muss man auch erstmal kommen, normalerweise widmet man Testdateien nicht so viel Aufmerksamkeit, die legt man einmal an und lässt sie dann nur durchlaufen, um zu sehen, dass noch alles tut.

Nach meinem Verständnis sollten solche externen Komponenten gar nicht in sicherheitskritischer Software verwendet werden, denn sie sind natürlich die erste Wahl, um Sicherheitslücken einzubringen.

da war tatsächlich Gefahr im Verzug!
Der Fall bestätigt mich auch in einem Kritikpunkt den ich an der modernen Vorgehensweise bei der SW-Entwicklung habe. Das Paradigma nennt sich Continous Development/Continous Integration (CD/CI). Gerade an so einer sicherheitsrelevanten Stelle ist es überhaupt nicht notwendig ständig neue Versionen auszuliefern. Besser man testet neue Versionen über einen längeren Zeitraum in einem geschützten Umfeld.

Die Aufforderung im Artikel man solle am Besten sein System neu installieren bedeutet, im wahrsten Sinne des Wortes, mit Kanonen auf Spatzen zu schießen. Es reicht ein gezieltes Downgrade des OpenSSH-Pakets.

beste Grüße
mabraton

aus dem MS-Hintergrund des Entdeckers eine Geschichte zu stricken macht wenig Sinn. Sehr viele Entwickler die mit einem derart weit verbreiteten Stück Software zu tun haben schauen den Code durch. Das meiste davon automatisiert. Das Gute dabei ist, dass dabei alles transparent ist. Niemand kann einen Wissensvorsprung haben, außer man ist selbst derjenige der den Code einschleust.

Die Frage als Entwickler ist wie tief man den Code auf Konsistenz prüft wenn Bibliotheken (Bausteine) verwendet werden welche, wie in diesem Fall, seit Langem zuverlässig funktionieren und kaum Änderungen unterliegen. Dazu kam noch, dass der schädliche Code zum testen der Bibliothek im Grunde die Funktionsweise nicht beeinflussen darf.
Ich vermute, dass dieser Zusammenhang zum Auffliegen geführt hat, eine Bibliothek die so gut wie nie verändert wird und neuer Test-Code der den alten, zuverlässig laufenden, testen soll. Das ist nicht logisch.

Ich bin nicht sicher ob Danischs Alarmismus gerechtfertigt ist. Der Schadcode ist in der Entwicklungsversion aufgeflogen. Danach gibt es eine Testversion und dann wird es für die Produktion freigegeben. Die Frage ist, wie lange blieb der Code unentdeckt.

Man kann sicher sein, dass die Vorgehensweise bei der Entwicklung auf den Prüfstand gestellt wird. Da sind sehr viele Leute sehr nervös geworden.

beste Grüße
mabraton

https://techrights.org/n/2024/03/31/Microsoft-Exchange-chaos-the-real-news.shtml

https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-223466-1032_c...

https://www.danisch.de/blog/2024/03/31/it-sicherheitskatastrophe-durch-code-of-conduct/

Wie schlecht ist das? Sehr schlecht. Das haette sehr boese ausgehen koennen. Und die Frage ist, wenn es einen Boesewicht gibt, wieviele weitere gibt es? Stellt euch mal vor, da raucht weltweit ein Server nach dem anderen ab.