>Die Umsetzung von SSH in Erlang/OTP SSH enthält eine kritische Sicherheitslücke mit Höchstwertung: CVSS-Wert 10 von 10. Die Lücke ist leicht zu attackieren, Exploit-Code kursiert bereits im Netz. Nun wird langsam auch klar, welche Systeme davon betroffen sind – am weitesten verbreitet sind sicherlich OpenSSH und Abkömmlinge davon. In großen Umgebungen findet sich jedoch öfter auch Erlang/OTP SSH.

Die IT-Sicherheitsforscher von Arctic Wolf haben eine Übersicht zusammengetragen, in der sich betroffene Hersteller und Produkte finden. Etwa der Netzwerkausrüster Ericsson setzt in seinen Produkten Erlang/OTP SSH ein, die für fehlertolerante, verteilte Anwendungen gedacht sind, etwa Switches wie AXD301. Eine Übersicht von Ericsson zu betroffenen Produkten und Hilfestellung beim Umgang mit der Lücke gibt es demnach noch nicht.

Sicherheitslücke: Große und namhafte Hersteller betroffen

Cisco untersucht derweil noch, welche Systeme betroffen sind, und hat eine Sicherheitsmeldung dazu veröffentlicht – das Unternehmen will sie stetig mit neuen Erkenntnissen aktualisieren. Dort listet Cisco bislang ConfD und ConfD Basic, Network Services Orchestrator als verwundbar auf und verspricht fehlerkorrigierte Software im Mai 2025. Ebenfalls anfällig sind Smart PHY sowie Intelligent Node Manager und Ultra Cloud Core (Subscriber Microservices Infrastructure). Es sind inzwischen auch viele Systeme als nicht betroffen identifiziert worden, etwa IOS, IOS XE, IOX XR, SD-WAN, ISE und weitere.

Zu den weiteren verwundbaren Anbietern gehört nach jetzigem Stand EMQ Technologies. Nicht standardmäßig installiert, aber optional verfügbar ist Erlang/OTP SSH bei National Instruments, Broadcom (insbesondere RabbitMQ), Very Technology, Apache (CouchDB) und Riak Technologies. Hier müssen Admins prüfen, ob sie Erlang/OTP SSH installiert haben und gegebenenfalls die verfügbaren Aktualisierungen installieren.

Dass die Schwachstelle in Erlang/OTP SSH kritisch und einfach angreifbar ist, war bereits bekannt. Die Entdecker der Lücke von der Ruhr-Universität Bochum hatten Details zu der Lücke veröffentlicht. Bislang war jedoch nicht klar, wo die Software tatsächlich eingesetzt wird und welche Systeme daher bedroht sind.