Hacker nutzen Shellshock-Lücke für Angriffswelle auf Mail-Server aus

IT-ManagementIT-ProjekteNetzwerk-ManagementNetzwerkeSicherheit
Trend Micro (Bild: Trend Micro)

Trend Micro hat vor einer Angriffswelle auf Mail-Server gewarnt, bei der die Angreifer die als Shellshock bezeichnete Bash-Lücke in Linux ausnutzen. Die Angriffe richten sich gegen SMTP-Server, die vor allem in Deutschland, Kanada, Taiwan und den USA stehen.

Trend Micro warnt vor einer Angriffswelle auf Mail-Server übr die Shellshock-Lücke

Die Angreifer fügen laut Trend Micro Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein. Erreicht eine derartige Nachricht einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der bösartige Code ausgeführt, ein IRC-Bot geladen und dieser ebenfalls ausgeführt. Der Bot stellt eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, über den SMTP-Server beispielsweise Spam zu versenden.

Als potenziell anfällig erachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen. Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen. Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail. Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.

Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht E-Mails verschicken, Dateien herunterladen, Unix-Befehle ausführen, nach Ports scannen und DDoS-Angriffe starten.

21 Prozent der von Trend Micro untersuchten Angriffe auf SMTP-Server über die Shellshock-Lücke betrafen Systeme in Deutschland. Der gleiche Anteil entfällt auf Server in Taiwan. Außerdem wurden in erster Linie noch Server in den USA und Kanada angegriffen. IT-Administratoren empfiehlt Trend Micro, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren.

Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt. Diese wird in Linux, Unix und OS X verwendet. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Mit SicherKMU informiert ITespresso Sie laufend über wesentliche Entwicklungen im Bereich IT-Sicherheit und beschreibt Wege, wie der Mittelstand mit diesen Bedrohungen umgehen kann. Dadurch entstehen geldwerte Vorteile für unsere Leser. Abonnieren Sie den RSS-Feed und die Mailingliste von SicherKMU! Diskutieren Sie mit uns und anderen Lesern! Weisen Sie Ihre Kollegen auf SicherKMU hin.

SicherKMU

Lesen Sie auch :
Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen