Server übernehmen Clients Exploit für kritische libssh2-Schwachstelle wird missbraucht

Von Melanie Staudacher 3 min Lesedauer

Anbieter zum Thema

Ein Exploit für eine kritische libssh2-Schwachstelle ermöglicht Code­aus­führung über manipulierte SSH-Server. Betroffen sind zahlreiche Anwendungen wie curl oder PHP. Ein offizielles Release steht noch aus.

Eine anonyme Person hat ein Repository mit 26 Exploits für Zero-Day-Schwachstellen auf GitHub veröffentlicht. Zwei davon werden Medienberichten nach bereits ausgenutzt.(Bild:  Arthur Kattowitz - stock.adobe.com)
Eine anonyme Person hat ein Repository mit 26 Exploits für Zero-Day-Schwachstellen auf GitHub veröffentlicht. Zwei davon werden Medienberichten nach bereits ausgenutzt.
(Bild: Arthur Kattowitz - stock.adobe.com)

Nachdem Ende Juni eine kritische Sicherheitslücke in der Open Source Software-Bibliothek libssh2 entdeckt wurde, ist nun ein Exploit Code im Umlauf, der zahlreiche Software­kom­po­nenten gefährden könnte.

Einer von 26 öffentlichen Exploits

Bei der entsprechenden Sicherheitslücke handelt es sich um EUVD-2026-37784 / CVE-2026-55200 (CVSS-Score 9.2, EPSS-Score* 0.73) betrifft die libssh2-Versionen bis einschließlich 1.11.1 und beschreibt einen „Out-of-Bounds Write“. Da keine Obergrenze für das Feld „packet_length“ erzwungen wird, können Angreifer manipulierte SSH-Pakete mit übermäßig großen Werten senden, um den Heap-Speicher zu beschädigen und die Ausführung von beliebigem Code aus der Ferne zu ermöglichen.

Wenn ein Angreifer ein Opfer dazu bringt, mit seiner Client‑Software eine Verbindung zu einem von ihm manipulierten SSH‑Server herzustellen, kann dieser Server gezielt präparierte Antworten senden und so Schadcode auf dem Client ausführen. Dies ist besonders brisant, da libssh2 weit verbreitet ist und in vielen Projekten eingesetzt wird, darunter in curl, PHP und libgit2.

Der Exploit, mit dem sich EUVD-2026-37784 / CVE-2026-55200 ausnutzen lässt, wurde am letzten Juni-Wochenende von einem anonymen Forscher mit dem Alias „bikini“ veröffentlicht. Das Repository „bikini/exploitarium“ enthielt 26 Proof-of-Concepts und Exploits für bis dato nicht gemeldete Schwachstellen in teils weit verbreiteter Software. Es ist , ist mittlerweile wieder entfernt worden. Wie The Register jedoch berichtet, wird EUVD-2026-37784 / CVE-2026-55200 bereits aktiv ausgenutzt. Auch die Schwachstelle EUVD-2026-39973 / CVE-2026-58053 (CVSS-Score 9.4, EPSS-Score 0.26), die ebenfalls in dem „bikini/exploitarium“-Repository enthalten war, werde demnach aktiv ausgenutzt. Sie betrifft den Gitea act_runner auf dem Docker-Backend und ist auf eine fehlerhafte Zugriffssteuerung zurückzuführen. Cyberkriminelle können die Sicherheitslücke ausnutzen, um einen Container-Ausbruch mit Root-Rechten zu erzielen. Um das Problem zu beheben, sollten Anwender auf eine neuere Version nach 0.262.0 installieren.

Charles Guillemet, CTO des französischen Kryptosicherheitsunternehmens Ledger, hat auf X einen Screenshot des Repositorys veröffentlicht:

Der anonyme Forscher habe eigenen Angaben nach keine der Sicherheitslücken an die jeweiligen Hersteller gemeldet. „Ihr könnt sie gerne selbst melden und die Anerkennung für die CVE einheimsen, falls eine vergeben wird – nur zum Spaß“, habe er online geschrieben.

Noch kein finaler Patch verfügbar

Und auch der Fehler hinter EUVD-2026-37784 / CVE-2026-55200 kann zumindest teilweise behoben werden. Mit dem Commit 7acf3df haben die libssh2-Entwickler die Schwachstelle geschlossen, ein neues Release gibt es bisher nicht. Doch viele Linux-Distributoren haben bereits neue Pakete mit dem Fix veröffentlicht. Bis ein Patch für libssh2 verfügbar ist, sollten Nutzer folgende Sicherheitsmaßnahmen ergreifen:

  • Ausgehende SSH-Verbindungen auf vertrauenswürdige Server beschränken
  • Hostschlüssel konsequent prüfen
  • Auf übergroße Pakete und Client-Abstürze achten

* Hinweis zum EPSS-Score: Das Exploit Prediction Scoring System zeigt die Wahrscheinlichkeit in Prozent an, mit der eine Schwachstelle innerhalb der nächsten 30 Tage ausgenutzt wird. Der ent­sprechende Score kann sich im Laufe der Zeit verändern. Sofern nicht anders angegeben, beziehen wir uns auf den Stand des EPSS-Scores zum Zeitpunkt der Veröffentlichung des Artikels.

(ID:50887756)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung