"Shellshock": Kritische Lücke wird bereits für Botnetz-Attacken genutzt

26. September 2014, 10:07
44 Postings

Sicherheitsexperten warnen vor weitreichenden Konsequenzen - Apple verspricht Update für OS X

Als am Mittwoch erste Berichte über eine schwere Sicherheitslücke in der Unix/Linux-Shell Bash auftauchten, drängten Experten rasch auf umgehende Updates der betroffenen Systeme. Immerhin können über die mittlerweile "Shellshock" (alternativ: "Bashbleed") getaufte Lücke unter gewissen Voraussetzungen von außen beliebige Befehle auf einem Rechner ausgeführt werden. Vor allem Server, die noch mit CGI-Skripten arbeiten, würden sich so recht einfach manipulieren lassen, so die eindringliche Warnung.

Warnung

Wie sich nun zeigt, waren diese Szenarien nicht nur bloße Theorie: Wie mehrere Sicherheitsdienstleister berichten, haben nur wenige Stunden nach der Veröffentlichung des Problems die ersten Attacken begonnen. So nutzen Angreifer die Lücke offenbar bereits, um auf Server zu gelangen, und dort dann in Folge weitere Angriffe gegen das jeweilige System zu starten. Fertige Exploits, die solche Angriffe einfach machen, sind ebenfalls bereits in Umlauf.

Einfach

Die hohe Gefährdung durch Shellshock ergibt sich vor allem aus zwei Faktoren: Einerseits ist die Bash auf praktisch jedem Linux- oder Unix-System zu finden, andererseits sind die Angriffe sehr einfach durchzuführen und benötigen kaum Programmierwissen. Sicherheitsforscher Roel Schouwenberg warnt davor, dass es sich hierbei de fakto um eine Hintertür zu vielen Server handelt, und zwar eine, die definitiv mittels eines Wurms massenhaft ausgenutzt werden könnte, wie Wired berichtet. Und tatsächlich haben laut dem Sicherheitsdienstleister Blue Coat bereits die ersten Botnetze mit diese Lücke nutzenden Angriffen begonnen.

Busybox

Zur weiteren Komplikation der Angelegenheit hat - wie berichtet - beigetragen, dass der erste Bugfix nicht vollständig war, insofern viele Systemadministratoren nun noch eine zweite Updaterunde für ihre Rechner einlegen müssen. Einzig wirklich erfreuliche Nachricht in diesem Zusammenhang: Das Minimalsystem Busybox, das bei vielen Embedded-Linux-Systemen zum Einsatz kommt, ist nicht von Shellshock betroffen, hier hätte noch ein erhebliches weiteres Gefährdungspotential schlummern können.

Apple

Unterdessen betont Apple gegenüber iMore, dass man bereits an entsprechenden Updates für OS X arbeite, und diese "schnell" an die eigenen Nutzer ausliefern werde. Einen konkreten Zeitrahmen nennt das Unternehmen allerdings nicht - während mittlerweile praktisch alle Linux-Distributionen und freien Unix-Systeme Updates liefern. Apple betont in dem Zusammenhang aber auch, dass OS X in der Default-Einstellung ohnehin nicht gefährdet sei, sondern erst, wenn die Nutzer die "Advanced UNIX Services" konfiguriert haben. (red, derStandard.at, 26.9.2014)

Share if you care.