SchwachstellenHackerangriffeDatenschutz

Kritische OpenSSH-Lücke: 15 Jahre unentdeckt – Root-Zugriff möglich

Von CyberDeutsch Redaktion
Kritische OpenSSH-Lücke: 15 Jahre unentdeckt – Root-Zugriff möglich
Zusammenfassung

Eine schwerwiegende Sicherheitslücke in OpenSSH, die sich über 15 Jahre unentdeckt in verbreiteten Versionen verborgen hat, ermöglicht Angreifern vollständigen Root-Zugriff auf betroffene Server. Die als CVE-2026-35414 katalogisierte Schwachstelle basiert auf einem Code-Wiederverwendungsfehler, durch den Kommazeichen in SSH-Zertifikat-Principals fälschlicherweise als Listentrennzeichen interpretiert werden. Dies ermöglicht es Benutzern mit gültigen Zertifikaten einer vertrauenswürdigen Zertifizierungsstelle, sich als Root-Benutzer zu authentifizieren. Das besonders Kritische: Der Angriff hinterlässt keine Spuren in Standard-Log-Dateien, da das System die Authentifizierung als legitim einstuft. Die Lücke betrifft potenziell alle deutschen Unternehmen, Behörden und Organisationen, die OpenSSH in ihren IT-Infrastrukturen einsetzen – eine weit verbreitete Standard-Software für sichere Remote-Verbindungen. Besonders bedrohlich ist das Risiko für Umgebungen mit kritischer Infrastruktur, da ein erfolgreicher Angriff Zugriff auf alle verbundenen Server ermöglichen könnte. Patches sind seit April 2025 in OpenSSH-Version 10.3 verfügbar, weshalb sofortige Updates und umfassende Audits der IT-Systeme dringend erforderlich sind.

Die Schwachstelle CVE-2026-35414 basiert auf einem klassischen Code-Reuse-Fehler im OpenSSH-Code. Das Problem liegt in der fehlerhaften Behandlung der authorized_keys-Principal-Option, insbesondere wenn Zertifizierungsstellen Kommatzeichen in den Zertifikat-Principal-Namen verwenden. Ein einfaches Komma führt dazu, dass der Parser es als List-Separator interpretiert, anstatt es als Literal-Zeichen zu behandeln.

Die technische Ursache ist subtil: Eine Funktion, die normalerweise Cipher- und Key-Exchange-Listen während des Schlüsselaustauschs verarbeitet, teilt komma-getrennte Listen auf und vergleicht die Fragmente mit dem Principal-Wert. Durch diesen Fehler wird ein Certificate mit dem Principal „deploy,root” so interpretiert, dass der Authentifizierung beide Teile als separate Principals gelten – ein Low-Privilege-Account wird zur Root-Berechtigung hochgestuft.

Das Sicherheitsunternehmen Cyera demonstrierte die Exploitierbarkeit in etwa 20 Minuten. Ein Test-Zertifikat mit einem Komma im Principal-Feld genügte, um auf einem Test-Server Root-Zugriff zu erlangen. Die Auswirkungen sind gravierend: Jede Organisation, die OpenSSH auf ihren Servern betreibt und eine Zertifikat-basierte Authentifizierung nutzt, ist potentiell gefährdet.

Besonders problematisch ist die fehlende Nachweisbarkeit. Da der Angriff nicht als Authentifizierungsfehler in den Logs registriert wird, können traditionelle Log-Analyse-Tools und Security-Information-and-Event-Management (SIEM)-Systeme den Missbrauch nicht erkennen. Dies erschwert die Detektion und Reaktion erheblich.

OpenSSH Version 10.3, veröffentlicht im April, behebt diese Lücke. Das BSI empfiehlt allen Organisationen dringend, ihre Systeme auf den aktuellen Stand zu bringen. Deutsche Behörden und kritische Infrastrukturen müssen dies als höchste Priorität behandeln. Unternehmen sollten parallel ihre Zertifikat-Management-Prozesse überprüfen und zusätzliche Überwachungsmechanismen wie Behavioral Analytics implementieren, um verdächtige Root-Aktivitäten zu erkennen, die durch Logfiles nicht sichtbar werden.

Ähnliche Artikel