Vor Kurzem habe ich einen Vulnerability Report erhalten. Ich freue mich über solche Hinweise. Sie helfen mir, mein Setup zu verbessern, bevor jemand eine Schwachstelle tatsächlich ausnutzt.
Der Report
Subject: Vulnerability Report: Vulnerable System Detected at openpgpkey.kernel-error.com Hello Team, I have identified a security issue in your system related to a vulnerability (CVE-2023-48795) in Terrapin. Vulnerability Details: - CVE Identifier: CVE-2023-48795 - Vulnerability Type: javascript - Severity: medium - Host: openpgpkey.kernel-error.com - Affected Port: 22 [...] Best Regards, Security Team
Erste Einschätzung
Terrapin hatte ich eigentlich schon überall gepatcht. Dann der Hinweis auf openpgpkey.kernel-error.com. Die Domain existiert als CNAME und gehört zur Web Key Directory (WKD), damit GPG-Keys automatisiert abgerufen werden können. Ich habe das als CNAME zu wkd.keys.openpgp.org angelegt, weil dieser Keyserver eine E-Mail-Validierung beim Hochladen durchführt.
Der betroffene SSH-Server gehört also gar nicht zu meiner Infrastruktur. Ich kann selbst nichts tun.
Vulnerability Type: JavaScript bei einem SSH-Problem auf Port 22? Der Finder hat vermutlich sein Standard-Template benutzt und nicht angepasst. Aber ich wollte trotzdem prüfen, ob seine Einschätzung zum SSH-Server zutrifft:
# ssh-audit openpgpkey.kernel-error.com (gekürzt) (gen) banner: SSH-2.0-OpenSSH_8.4p1 Debian-5+deb11u3 (gen) software: OpenSSH 8.4p1 (cve) CVE-2021-41617 -- (CVSSv2: 7.0) privilege escalation via supplemental groups (cve) CVE-2016-20012 -- (CVSSv2: 5.3) enumerate usernames via challenge response (kex) ecdh-sha2-nistp256 -- [fail] suspected NSA backdoor (kex) ecdh-sha2-nistp384 -- [fail] suspected NSA backdoor (kex) kex-strict-s-v00@openssh.com -- [info] Terrapin counter-measure present (key) ssh-rsa (2048-bit) -- [fail] broken SHA-1 hash algorithm (key) ecdsa-sha2-nistp256 -- [fail] suspected NSA backdoor (mac) hmac-sha1-etm@openssh.com -- [fail] broken SHA-1 hash algorithm (mac) hmac-sha1 -- [fail] broken SHA-1
Sieht tatsächlich nicht optimal aus. NIST-Kurven, SHA-1, 2048-Bit RSA. Der Hinweis war also nicht unberechtigt. Ich habe dem Finder freundlich und dankbar geantwortet, aber darauf hingewiesen, dass das System nicht zu meiner Infrastruktur gehört. Die relevanten WHOIS-Informationen zur IP habe ich mitgeschickt.
Die Antwort
Thank you for your answer. Let me know if you need anything else from myside I hope this type of hard efforts deserves something reward
„Hard efforts“. Ich will das nicht schlechtreden. Im beruflichen Umfeld hätte ich mich vielleicht sogar für eine Kleinigkeit stark gemacht. Aber hier geht es um meine private Infrastruktur, und dann noch mit dem JavaScript-Hinweis und der Meldung zu einem fremden System. Das wirkt oberflächlich. Also habe ich ihn freundlich darauf hingewiesen.
Wie man mit Vulnerability Reports umgehen sollte
Wenn euch eine solche Nachricht erreicht: Schnell und freundlich reagieren. Den Report ernst nehmen, bewerten und eine angemessene Rückmeldung geben. Die Mühe des Finders wertschätzen. Zwei Wochen später mit „Anzeige ist raus!“ zu antworten wäre der falsche Weg. Es ist für jemanden deutlich aufwendiger, eine Meldung zu schreiben, als das Ganze in ein Darknet-Forum zu posten und dort ein paar XMR einzusammeln.
Macht es den Leuten einfach, euch zu kontaktieren. Eine security.txt oder klare Kontaktinformationen für eine Security-Mailbox helfen ungemein. Hauptsache, jemand kann seinen Report unkompliziert abgeben, und er wird von jemandem gelesen, der das bewerten kann.
Mehr zum Thema security.txt:
securitytxt.org | Wikipedia | BSI Allianz für Cybersicherheit
Zum Vergleich: Mein eigener SSH-Server
So sieht meine SSH-Konfiguration von außen aus:
# ssh-audit bsd01.kernel-error.de (gekürzt) (gen) banner: SSH-2.0-OpenSSH_9.7 DemMeisterSeinRennAuto (gen) software: OpenSSH 9.7 (kex) sntrup761x25519-sha512@openssh.com -- [info] Post-Quantum Key Exchange (kex) curve25519-sha256 -- [info] default since OpenSSH 6.4 (kex) diffie-hellman-group16-sha512 -- [info] available since OpenSSH 7.3 (kex) kex-strict-s-v00@openssh.com -- [info] Terrapin counter-measure (key) ssh-ed25519 -- [info] available since OpenSSH 6.5 (enc) aes256-gcm@openssh.com -- [info] available since OpenSSH 6.2 (enc) aes128-gcm@openssh.com -- [info] available since OpenSSH 6.2 (mac) hmac-sha2-256-etm@openssh.com -- [info] available since OpenSSH 6.2 (mac) hmac-sha2-512-etm@openssh.com -- [info] available since OpenSSH 6.2
Keine NIST-Kurven, kein SHA-1, kein RSA, Post-Quantum Key Exchange mit sntrup761. Nur Ed25519 als Host Key. Der Banner ist übrigens Absicht.
Fragen? Einfach melden.
Nun, ich würde sagen, das ist insgesamt schon eine bemerkenswerte Situation, die wir hier haben. Man sieht daran ja auch sehr schön, wie du mit so etwas umgehst – und es ist ja durchaus auch mal interessant zu beobachten, dass du selbst in so eine Lage kommst.
Was die „Anzeige“ betrifft – nun, das ist natürlich eine dieser Formulierungen, die in gewisser Weise sehr charakteristisch für Deutschland sind. Und ja, wenn man sich die Vorschriften so anschaut, dann war da doch, wenn ich mich recht erinnere, diese Regelung, dass nach 72 Stunden eine Meldung erfolgen muss, nicht wahr? Aber gut, das müsste man sich dann nochmal genauer anschauen.