Bash-Lücke in Linux und Unix wird bereits ausgenutzt

BetriebssystemSicherheitSicherheitsmanagementWorkspace
Bash Logo

Rund einen Tag nachdem Red Hat auf die inzwischen als “Shellshock” bezeichnete Lücke CVE-2014-6271 in der Linux- und Unix-Shell Bash hingewiesen hat, haben Sicherheitsforscher nun Beispielcode für einen Exploit entdeckt. Laut Malwaremustdie.org vereint die Malware mehrere Funktionen in sich. Sie ermöglicht Denial-of-Service-Angriffe, versucht aber auch Passwörter für Server erraten. Dafür nutzt sie eine Liste mit schwachen aber bedauerlicherweise immer noch häufig verwendeten Kennwörtern wie “root”, “admin” oder “123456”.

Die Shellshock genannte Bash-Lücke in Linux und Unix wird bereits ausgenutzt
Die Shellshock genannte Bash-Lücke in Linux und Unix wird bereits ausgenutzt.

Wie Red Hat inzwischen eingeräumt hat, beseitigt der erste Patch für die Bourne-Again Shell (Bash) nicht alle Fehler vollständig. Laut Red Hat ist ein neues Update bereits in Arbeit. Der vorhandene Patch sollte dennoch installiert werden, um die Systeme so gut wie möglich zu schützen.

Das illustriert die von der Schwachstelle ausgehende Gefahr. Dass diese nicht unterschätzt werden sollte, haben inzwischen zahlreiche Sicherheitsexperten betont. Laut Kasper Lindgaard, Chef der Forschungsabteilung bei Secunia, “existieren verschiedene Angriffsvektoren, da Bash in zahlreichen Unternehmen in unterschiedlichen Systemteilen genutzt wird. Es ist anzunehmen, dass vor allem viele alte Netzwerkgeräte angreifbar sind.” Bislang sei nur die Spitze des Eisbergs zu erkennen, also die offensichtlichsten Angriffsvektoren.

Nach Ansicht des Secunia-Experten ist die nun in Bash gefundene Sicherheitslücke gefährlicher, als die Anfang des Jahres in OpenSSL entdeckte namens Heartbleed: “Heartbleed hat Hackern ‘nur’ das Auslesen von Informationen ermöglicht. Über Bash können sie Befehle ausführen, um ganze Server und Systeme zu übernehmen”, so Lindgaard.

Kasper Lindgaard, Chef der Forschungsabteilung bei Secunia (Bild: Secunia).
Kasper Lindgaard, Chef der Forschungsabteilung bei Secunia (Bild: Secunia).

Auch Tatu Ylönen, Erfinder der Secure Shell (SSH) und aktuell CEO der Firma SSH Communications Security, hat auf die von Shellshock ausgehende Gefahr hingewiesen – und als sofort nutzbaren Workaround empfohlen, die AcceptEnv Command Option in /etc/sshd_config zu nutzen, um alle Umgebungsvariablen vom Client zurückzuweisen. Dazu reiche es in der Regel aus, AcceptEnv-Zeile aus der Standard-Konfigurationsdatei zu löschen.

Ylönen geht davon aus, dass die größte Gefahr für ältere Websites besteht, die Bash-nutzende CGI-Skripte verwenden. “Ich gehe nicht davon aus, dass viele moderne oder große Websites betroffen sind. Dennoch könnten weltweit Millionen von Websites anfällig sein.” Auch er empfiehlt daher allen, die eine Website betreiben und dazu Bash nutzen, das Upgrade auf die neueste Version einzuspielen.

Lucas Zaichkowsky, Securit-Spezialist beim Unternehmen AccessData, schätzt die Bedeutung von Shellshock ebenfalls weitaus höher ein, als die von Heartbleed: “Es gibt viele Software-Pakete, einschließlich Server-Software, die auf Befehle und Skripte angewiesen sind und Bash standardmäßig verwenden. Alle, die sich fragen, wie ernst diese Lücke im Vergleich zu Heartbleed ist, sollten wissen, dass das National Institute of Standards and Technology (NIST) in seinem “Common Vulnerability Scoring System” Heartbleed mit der Gefahrenstufe 5 bewertet hat. Die neue Bash-Schwachstelle wurde dagegen mit der maximalen Punktzahl von 10 bewertet. Dagegen wirkt Heartbleed wie Spielzeug.”

Tatu Ylönen, Erfinder der Secure Shell (SSH) und CEO der Firma SSH Communications Security (Bild: SSH Communicatiosn Security)
Tatu Ylönen, Erfinder der Secure Shell (SSH) und CEO der Firma SSH Communications Security (Bild: SSH Communicatiosn Security)

Zaichkowsky empfiehlt Firmen, um langfristig geschützt zu sein, auch Angriffe auf andere, ihnen ähnliche Unternehmen, zu beobachten. Ebenso sei es ratsam, Mitarbeiter einschwören, sichere Passwörter zu verwenden. “Denn häufig verwenden Mitarbeiter dieselben Passwörter für private und geschäftliche Zwecke. Es ist durchaus üblich, dass Angreifer, Benutzerkennwörter von einer Website abgreifen und sie dann verwenden, um in Unternehmensnetzwerke zu gelangen.”

Robert Graham von Errata Security weist darauf hin, dass – wie im ursprünglichen Advisory vermerkt – auch DHCP-Dienste anfällig sind. Er ist davon überzeugt, dass Malware für die Bash-Lücke auch als Wurm eingesetzt werden kann, um so Firewalls zu umgehen und “viele andere Systeme zu infizieren”. “Eine entscheidende Frage ist, ob Mac OS X und iPhone DHCP anfällig sind – sobald der Wurm an einer Firewall vorbeikommt und einen eigenen DHCP-Server ausführt, bedeutet das ‘Game Over’ für große Netzwerke.”

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen