RegreSSHion und Abuse-Mails vom CERT.at
13 views
Skip to first unread message
Christoph Lechleitner
Jul 10, 2024, 2:47:50 PMJul 10
to LUGT (Google Groups)
Servus!
Am 1.7.2024 wurde ja regreSSHion bekannt, eine die relativ kritische RCE-Lücke in OpenSSH auf glibc-basierten Systemen.
Debian und Ubuntu hatten da schon Fixes released, auch wenn es teils bis 2.7. gebraucht hat bis alles z.B. auf Hetzner's Ubuntu-Spiegeln war.
Das CERT.at hat sich nun wohl zur Aufgabe gemacht das Internet von verwundbaren Systemen unter österrichscher Kontrolle zu reinigen, indem man (educated guess) die Abuse-Adressen für laut shadowserver verwundbare IPv4-Adressen anschreibt wenn das Reverse-Lookup auf .at lautet.
Wir haben über Hetzner solche Mails für dort stehende Server bekommen, auch ein Kunde von uns.
Die Server waren aber seit 1.7. bzw. teils 2.7. gefixt, und die Scans geschahen wohl am 6.7.
Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
Hat hier sonstwer solche E-Mails von cert.at bekommen?
Mach' ich einen fatalen Denkfehler?
Finden wir solche automatischen E-Mails von cert.at angemessen?
lg Christoph
Am 1.7.2024 wurde ja regreSSHion bekannt, eine die relativ kritische RCE-Lücke in OpenSSH auf glibc-basierten Systemen.
Debian und Ubuntu hatten da schon Fixes released, auch wenn es teils bis 2.7. gebraucht hat bis alles z.B. auf Hetzner's Ubuntu-Spiegeln war.
Das CERT.at hat sich nun wohl zur Aufgabe gemacht das Internet von verwundbaren Systemen unter österrichscher Kontrolle zu reinigen, indem man (educated guess) die Abuse-Adressen für laut shadowserver verwundbare IPv4-Adressen anschreibt wenn das Reverse-Lookup auf .at lautet.
Wir haben über Hetzner solche Mails für dort stehende Server bekommen, auch ein Kunde von uns.
Die Server waren aber seit 1.7. bzw. teils 2.7. gefixt, und die Scans geschahen wohl am 6.7.
Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
Hat hier sonstwer solche E-Mails von cert.at bekommen?
Mach' ich einen fatalen Denkfehler?
Finden wir solche automatischen E-Mails von cert.at angemessen?
lg Christoph
rob...@penz.name
Jul 10, 2024, 3:37:22 PMJul 10
to linuxuser...@googlegroups.com
Hi,
Nix bekommen aber hab auch kein ssh direkt im Internet erreichbar ... Wireguard und zerotier rules. Aber schreib denen einfach zurück an die Team Adresse bei mir haben sie sicher eigentlich immer gemeldet.
--
Tipp: Stammtischkalender (Google-Kalender) "linuxuser...@gmail.com"
in die eigene Terminverwaltung einbinden. Siehe: http://www.lugt.at/p/stammtisch.html
---
Sie erhalten diese Nachricht, weil Sie Mitglied der Google Groups-Gruppe "Linux User Group Tirol" sind.
Wenn Sie sich von dieser Gruppe abmelden und keine E-Mails mehr von dieser Gruppe erhalten möchten, senden Sie eine E-Mail an linuxusergroupt...@googlegroups.com.
Besuchen Sie https://groups.google.com/d/msgid/linuxusergrouptirol/457da4be-2de5-4dd5-ab46-d0060d177e4a%40iteg.at, um diese Diskussion im Web anzuzeigen.
Richard Weinberger
Jul 10, 2024, 3:44:09 PMJul 10
to LUGT (Google Groups), Christoph Lechleitner
Am Mittwoch, 10. Juli 2024, 20:47:44 CEST schrieb Christoph Lechleitner:
> Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
> Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
>
> Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
>
>
> Hat hier sonstwer solche E-Mails von cert.at bekommen?
>
> Mach' ich einen fatalen Denkfehler?
>
> Finden wir solche automatischen E-Mails von cert.at angemessen?
Also ich sehe das recht entspannt. Als Experte weißt sofort, dass das ein False-Positive ist.
> Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
> Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
>
> Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
>
>
> Hat hier sonstwer solche E-Mails von cert.at bekommen?
>
> Mach' ich einen fatalen Denkfehler?
>
> Finden wir solche automatischen E-Mails von cert.at angemessen?
Jemand der sich nicht so gut auskennt ist vielleicht froh darüber, dass er zu einem "vergessenem"
SSH-Server eine Mail bekommt...
LG,
//richard
--
sigma star gmbh | Eduard-Bodem-Gasse 6, 6020 Innsbruck, AUT
UID/VAT Nr: ATU 66964118 | FN: 374287y
Christoph Lechleitner
Jul 15, 2024, 4:05:59 AMJul 15
to linuxuser...@googlegroups.com
Am 10.07.24 um 21:44 schrieb Richard Weinberger:
Unsere Rückfrage an te...@cert.at (Danke Robert für die Info dass die normal rasch antworten) vom 11.7. (letzter Donnerstag) ist noch unbeantwortet.
Und Hetzner hat jetzt angefangen von den refernzierten Server-Betreibern Stellungnahmen einzufordern.
Mal sehen was die auf meine Stellungnahme antworten.
> Als Experte weißt sofort, dass das ein False-Positive ist.
> Jemand der sich nicht so gut auskennt ist vielleicht froh darüber, dass er zu einem "vergessenem"
> SSH-Server eine Mail bekommt...
Für Kunden von uns steht jetzt halt quasi Aussage gegen Aussage.
CERT.at (was ja wie eine Regierungsbehörde agiert obwohl's eine Firma ist) behauptet die Server wären unsicher, wir behaupten wir haben Zeitnah Security-Updates eingespielt (und so unsere Dienstleistung erbracht).
lg Christoph
> Am Mittwoch, 10. Juli 2024, 20:47:44 CEST schrieb Christoph Lechleitner:
>> Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
>> Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
>>
>> Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
>>
>>
>> Hat hier sonstwer solche E-Mails von cert.at bekommen?
>>
>> Mach' ich einen fatalen Denkfehler?
>>
>> Finden wir solche automatischen E-Mails von cert.at angemessen?
>
> Also ich sehe das recht entspannt.
Ich nicht mehr ;-(
>> Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
>> Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
>>
>> Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
>>
>>
>> Hat hier sonstwer solche E-Mails von cert.at bekommen?
>>
>> Mach' ich einen fatalen Denkfehler?
>>
>> Finden wir solche automatischen E-Mails von cert.at angemessen?
>
> Also ich sehe das recht entspannt.
Unsere Rückfrage an te...@cert.at (Danke Robert für die Info dass die normal rasch antworten) vom 11.7. (letzter Donnerstag) ist noch unbeantwortet.
Und Hetzner hat jetzt angefangen von den refernzierten Server-Betreibern Stellungnahmen einzufordern.
Mal sehen was die auf meine Stellungnahme antworten.
> Als Experte weißt sofort, dass das ein False-Positive ist.
> Jemand der sich nicht so gut auskennt ist vielleicht froh darüber, dass er zu einem "vergessenem"
> SSH-Server eine Mail bekommt...
CERT.at (was ja wie eine Regierungsbehörde agiert obwohl's eine Firma ist) behauptet die Server wären unsicher, wir behaupten wir haben Zeitnah Security-Updates eingespielt (und so unsere Dienstleistung erbracht).
lg Christoph
Christoph Lechleitner
Jul 15, 2024, 8:24:36 AMJul 15
to linuxuser...@googlegroups.com
Am 15.07.24 um 10:05 schrieb Christoph Lechleitner:
Zitat:
Eigentlich hätte bei den Aussendungen dabei stehen sollen, dass die Daten auch False-Positives enthalten können. Dass das nicht der Fall war ist uns erst jetzt durch Ihre Meldung aufgefallen. Wir werden die Aussendungen vorläufig auf Eis legen. Wenn wir RegreSSHion in Zukunft mit der gleichen Scantechnik wieder aussenden, vergewissern wir uns zwei mal, dass wirklich der Hinweistext mitgesendet wird.
--- Zitat Ende ---
Meine anderen Annahmen wurden auch bestätigt, und man hat sich entschuldigt.
Trotzdem bereite ich gerade vor die Client-IP-Einschränkungen die wir für SSH aktiv haben 1. zu verschärfen und 2. von tcp-wrapper auf nftables auszuweiten.
lg Christoph
> Am 10.07.24 um 21:44 schrieb Richard Weinberger:
>> Am Mittwoch, 10. Juli 2024, 20:47:44 CEST schrieb Christoph Lechleitner:
>>> Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
>>> Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
>>>
>>> Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
>>>
>>>
>>> Hat hier sonstwer solche E-Mails von cert.at bekommen?
>>>
>>> Mach' ich einen fatalen Denkfehler?
>>>
>>> Finden wir solche automatischen E-Mails von cert.at angemessen?
>>
>> Also ich sehe das recht entspannt.
>
> Ich nicht mehr ;-(
>
> Unsere Rückfrage an te...@cert.at (Danke Robert für die Info dass die normal rasch antworten) vom 11.7. (letzter Donnerstag) ist noch unbeantwortet.
Für's Protokoll, das CERT.at hat sich gemeldet.
>> Am Mittwoch, 10. Juli 2024, 20:47:44 CEST schrieb Christoph Lechleitner:
>>> Für mich sieht es so aus dass auf Basis der öffentlichen (und meiner Erinnerung nach nicht abschaltbaren) Versions-Info der SSH-Server angenommen wird dass alles im entsprechenden Hauptversions-Range verwundbar ist, also z.B. 8.9p1.
>>> Diese Hauptversion eines SSH- (oder auch Apache-, NGinx-, ... sonstwas-Servers) verrät aber nicht ob backgeportete Fixes angebracht wurden oder nicht.
>>>
>>> Solche Falschmeldungen hatten wir schon öfters wenn sich Kunden scannen haben lassen (Compliance-Maßnahmen) oder ungefragt gescannt wurden, aber wenn CERT.at auf so einer Basis systematisch Abuse-Mails verschickt wird's mühsam.
>>>
>>>
>>> Hat hier sonstwer solche E-Mails von cert.at bekommen?
>>>
>>> Mach' ich einen fatalen Denkfehler?
>>>
>>> Finden wir solche automatischen E-Mails von cert.at angemessen?
>>
>> Also ich sehe das recht entspannt.
>
> Ich nicht mehr ;-(
>
> Unsere Rückfrage an te...@cert.at (Danke Robert für die Info dass die normal rasch antworten) vom 11.7. (letzter Donnerstag) ist noch unbeantwortet.
Zitat:
Eigentlich hätte bei den Aussendungen dabei stehen sollen, dass die Daten auch False-Positives enthalten können. Dass das nicht der Fall war ist uns erst jetzt durch Ihre Meldung aufgefallen. Wir werden die Aussendungen vorläufig auf Eis legen. Wenn wir RegreSSHion in Zukunft mit der gleichen Scantechnik wieder aussenden, vergewissern wir uns zwei mal, dass wirklich der Hinweistext mitgesendet wird.
--- Zitat Ende ---
Meine anderen Annahmen wurden auch bestätigt, und man hat sich entschuldigt.
Trotzdem bereite ich gerade vor die Client-IP-Einschränkungen die wir für SSH aktiv haben 1. zu verschärfen und 2. von tcp-wrapper auf nftables auszuweiten.
lg Christoph
Reply all
Reply to author
Forward
0 new messages