ShellShock: Angriffe auf Lycos, Yahoo und WinZip

Der Security-Experte Jonathan Hall entwickelte ein Tool, um Server zu identifizieren, die noch immer dieses Scheunentor für Angreifer offen haben. Offenbar sind zum Teil Server großer Anbieter betroffen und wurden bereits kompromittiert.

Shellshock: Yahoo, WinZip und Lycos fallen Angriffen zum Opfer

Gerade Betreiber von Webservern sollten dringend patchen, wollen Sie nicht selbst Opfer der Hacker werden. Es scheint eine ganze Angriffsserie zu sein: Über ShellShock greifen Hacker und Cracker an, was nicht dicht gemacht wurde. Der Sicherheitsforscher Jonathan Hall entwickelte ein Tool, um Server zu identifizieren, die noch immer dieses Scheunentor für Angreifer nicht geschlossen haben. Sein Tool nutzt dazu die Google-Suche, um zunächst Webserver zu identifizieren und anschließend die Angreifbarkeit zu prüfen. Nach seinen Angaben war er in vielen Fällen nicht der erste, der zugriff: Er fand Scripte, die sich über IRC-Server an einem Channel anmelden und dort auf Befehle warten, sowie solche, die das Botnet erweitern, indem sie sich auf andere Server fortpflanzen. Über den IRC-Kanal konnte er seinen Angaben zufolge beobachten, welche Server sich anmeldeten und welche Befehle diese erhielten. Darunter seien auch Server von winzip.com, lycos.com und yahoo.com zu finden. Laut Yahoo habe es zwar einen Angriff gegeben, jedoch nicht über ShellShock. Die Server seien zweimal gepatcht worden, so dass keine Lücke bestehe. Hall bezweifelt das jedoch. WinZip bestätigte den Angriff bereits. Kundendaten seien jedoch nicht betroffen. Lycos dagegen behauptet, eigene Server seien nicht kompromitiert worden. Hall habe daraufhin weitere Informationen zum Angriff an das Unternehmen gegeben. ShellShock betrifft alle Bash-Versionen seit 1994, angefangen von der ersten bis zur aktuellen Version 4.3. Die Sicherheitslücken wurden unter den CVE-Nummern CVE-2014-6277 und CVE-2014-6278 verzeichnet. Die Bash 4.2 kann mit dem Patch bash42-053 gefixt werden und für Bash 4.3 steht der Patch bash43-030 bereit. Diese Patches sollen gegen alle bisher bekannten Varianten von ShellShock absichern. Auch Mac OS X ist betroffen. Hier müssen Nutzer/innen derzeit noch selbst Hand anlegen, um das System gegen Angriffe dicht zu machen. Die Seite shellshocker.net gibt zudem Hinweise, wie man das eigene System überprüfen und Patches anwenden kann. Hacker und Cracker können bei ungesicherten Systemen Code in Umgebungsvariablen implementieren und diesen bei Start einer neuen Shell ungeprüft auf dem System ausführen lassen. Alle Unix- und Linux-Systeme sollten dringend überprüft und gepatcht werden. Dies gilt gerade auch für öffentlich zugängliche Systeme wie Web- und Mail-Server. Gerade CGI-Scripts nutzen häufig die Bash zur Ausführung und verwenden in Requests oftmals Umgebungsvariablen, die über präparierte HTTP-Requests für Angriffe genutzt werden können. Sie möchten zukünftig per Newsletter informiert werden? <link aktuelle-meldungen oktober newsletter.html>Hier können Sie sich zu unserem Newsletter anmelden.