Hacker nutzen Shellshock-Lücke für Angriffswelle auf Mail-Server aus

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheit
Trend Micro (Bild: Trend Micro)

Laut Trend Micro haben sie dabei gezielt Mail-Server in Deutschland ins Visier genommen. Sie infizieren ungepatchte SMTP-Server mithilfe manipulierter E-Mails mit einem IRC-Bot. Dann nutzen sie die E-Mail-Server für den Versand von Spam und für DDoS-Angriffe. Das kann für die eigentlichen Betreiber der Server unangenehme rechtliche Folgen haben.

Trend Micro hat vor einer Angriffswelle auf Mail-Server gewarnt, bei der die Angreifer die als Shellshock bezeichnete Bash-Lücke in Linux ausnutzen. Die Angriffe richten sich gegen SMTP-Server, die vor allem in Deutschland, Kanada, Taiwan und den USA stehen.

Trend Micro warnt vor einer Angriffswelle auf Mail-Server übr die Shellshock-Lücke

Die Angreifer fügen laut Trend Micro Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein. Erreicht eine derartige Nachricht einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der bösartige Code ausgeführt, ein IRC-Bot geladen und dieser ebenfalls ausgeführt. Der Bot stellt eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, über den SMTP-Server beispielsweise Spam zu versenden.

Als potenziell anfällig erachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen. Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen. Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail. Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.

Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht E-Mails verschicken, Dateien herunterladen, Unix-Befehle ausführen, nach Ports scannen und DDoS-Angriffe starten.

21 Prozent der von Trend Micro untersuchten Angriffe auf SMTP-Server über die Shellshock-Lücke betrafen Systeme in Deutschland. Der gleiche Anteil entfällt auf Server in Taiwan. Außerdem wurden in erster Linie noch Server in den USA und Kanada angegriffen. IT-Administratoren empfiehlt Trend Micro, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren.

Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt. Diese wird in Linux, Unix und OS X verwendet. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen