Sicherheitslücke in VS Code Remote-SSH ermöglicht Angreifern Zugriff auf Cloud-Server

Neue Forschungen zeigen jedoch, dass dieses Vertrauensverhältnis ausgenutzt werden kann, um eine Remote-Code-Ausführung auf verbundene Infrastrukturen zu erreichen.

Schwachstelle in Code Remote-SSH Die Schwachstelle ergibt sich aus der Art und Weise, wie Code die Initialisierung Verbindungsaufstellung generiert die Anwendung lokal ein Bootstrap-Shell-Skript und speichert es in einem für den Benutzer schreibbaren temporären Verzeichnis.

Dieses Skript wird anschließend automatisch auf das Ziel-Remotesystem übertragen und ausgeführt. Kritisch ist, dass der Prozess keine Integritätsprüfung, keine Dateisperren und keine Signaturverifizierung durchführt, was zu einem Time-of-Check-to-Time-of-Use (TOCTOU)-Race Condition führt.

Technischer Hintergrund

Ein Angreifer mit Zugriff auf eine kompromittierte Entwicklungsmaschine kann das temporäre Verzeichnis überwachen, das generierte Skript abfangen und bösartige Payloads injizieren, bevor es ausgeführt wird.

Sobald der Entwickler eine Remote-SSH-Sitzung initiiert – auch solche, die durch Multi-Faktor-Authentifizierung geschützt sind – wird das manipulierte Skript auf dem Remoteserver ausgeführt und gewährt dem Angreifer Code-Ausführung.

Dieses Verhalten stellt einen Vertrauensgrenzüberschreitung dar, bei der eine kompromittierte lokale Umgebung die Ausführung direkt Cloud- oder Produktionsinfrastrukturen beeinflusst. In realen Szenarien ermöglicht dies Angreifern, lateral AWS, Azure oder interne Server einzudringen, ohne zusätzliche Exploits zu benötigen.

Sicherheitslage und Risiko

Proof-of-Concept-Demonstrationen zeigen erfolgreiche Ausnutzung in mehreren Umgebungen, darunter Azure-Virtualmaschinen, AWS EC2-Instanzen und lokale Server. Der Angriff umgeht keine Authentifizierungsmechanismen; stattdessen wird er nach einer erfolgreichen Anmeldung ausgeführt, wodurch MFA gegen diese Technik wirkungslos bleibt.

Das Ausmaß der Exposition ist erheblich: die betroffenen Erweiterungen haben gemeinsam mehr als 76 Millionen Installationen, darunter Remote-SSH, Remote Explorer, AWS Toolkit und Azure-Integrationen.

Weitere Entwicklungsumgebungen wie die Cursor IDE könnten ebenfalls durch geteilte Abhängigkeiten hat den Bericht anerkannt, klassifiziert das Verhalten jedoch als konsistent mit dem Produktdesign und überlässt die Maßnahmen zur Eindämmung weitgehend den Nutzern und Organisationen.

Sicherheitslage und Risiko

Sicherheitsexperten warnen davor, dass diese Schwachstelle kein traditionelles Pre-Authentifizierungsproblem darstellt, sondern eine verlssliche Post-Kompromittierungs-Technik ist, die sich an modernen Angriffsketten orientiert. Sie verdeutlicht, wie vertrauenswrdige Entwickler-Workflows Kanlen Cloud-Kompromittierungen werden knnen.

Laut dem Forscher Suman Kumar Chakraborty, wie auf Medium berichtet, sollten Organisationen Remote-SSH auf nicht vertrauenswrdigen Systemen vermeiden und Entwicklerumgebungen isolieren, Risiken einer Cloud-Kompromittierung zu verringern.

Die berwachung temporrer Verzeichnisse auf unbefugte nderungen und die Erkennung anomaler Aktivitten auf entfernten Systemen knnen ebenfalls dabei helfen, Ausnutzungsversuche zu identifizieren.

Diese Offenlegung unterstreicht eine wachsende Realitt in der Cybersicherheit: Entwicklerumgebungen werden zunehmend nicht wegen inhrenter Schwchen, sondern weil sie innerhalb vertrauenswrdig sind, gezielt angegriffen. Abi ist Security-Editorin und weitere Reporterin bei