ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
Es gibt die ersten Angriffe über die ShellShock-Schwachstelle in der Bash, außerdem wurden weitere Schwachstellen darin entdeckt.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht.
tl;dr: "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
25. September - Die ersten Angriffe finden statt
Am 25. September wurden die ersten Angriffe über die ShellShock-Schwachstelle gemeldet:
- Von Yinette (@yinettesys) wurde schon am Abend des 24.9.
auf GitHub
ein "in the wild" beobachteter Angriff
veröffentlicht.
Die dabei eingeschleuste
Backdoor
wurde am 25.9. auf VirusTotal
von keinem Virenscanner erkannt
(und selbst am 29. September erkennen erst
30 von 54 Scannern
den Schädling, wobei man Windows-Scannern nicht wirklich vorwerfen
darf, dass sie Linux-Schädlinge nicht erkennen).
In den Kommentaren auf GitHub wurden daraufhin weitere Angriffe gemeldet. - Das australische AusCERT kommentiert das Security Advisory von Debian Linux zur Bash-Schwachstelle mit den Worten "AusCERT has received reports that this vulnerability is currently being exploited in the wild. Administrators should patch vulnerable systems as soon as possible."
- Trend Micro meldet ebenfalls Angriffe über die Schwachstelle, dort heißt der darüber eingeschleuste Schädling (der mit dem von Yinette entdeckten identisch ist) ELF_BASHLITE.A. Es handelt sich dabei um eine klassische Hintertür, über die verschiedene Befehle ausgeführt, Brute-Force-Angriffe auf Logins durchgeführt und Daten ausgespäht werden können.
- Michael Bulat hat auf GitHub Code für einen Angriff veröffentlicht, der ein Perl-Skript einschleust. Dabei handelt es sich um eine bekannte Botnet-Backdoor namens ShellBot.
- AlienVault hat seine Honeypots sofort nach Bekanntwerden an die Erkennung der Schwachstelle angepasst und innerhalb der ersten 24 Stunden neben etlichen reinen Scans zwei reale Angriffe beobachtet. Einmal wird die bereits bekannte Linux-Backdoor installiert, einmal der Perl-Bot. Der Bot verbindet sich mit einem IRC-Server, mit dem zum Zeitpunkt der ersten Prüfung durch AlienVault 715 Benutzer verbunden waren, es gab also vermutlich bereits 715 Opfer des Bots. Nachdem der Honeypot Verbindung mit dem Server aufgenommen hat sind noch mindestens 20 weitere hinzu gekommen.
- Sucuri hat viele verschiedene Angriffe registriert, unter anderen Versuche zum Öffnen einer Shell und zum Einschleusen von Schadsoftware.
Ein Patch für den unvollständigen Patch ist in Arbeit
Ein Patch für die durch den unvollständigen Patch verbleibende Schwachstelle CVE-2014-7169 ist noch in Arbeit. Trotzdem sollte der erste Patch dringend installiert werden, da diese Schwachstelle aktiv ausgenutzt wird.
Es gibt weitere Schwachstellen
So, wie der Sourcecode von OpenSSL nach dem Bekanntwerden des Heartbleed-Bugs auf weitere Schwachstelle untersucht wurde, wird nun auch der Sourcecode der Bash näher unter die Lupe genommen. Was prompt erste weitere Schwachstellen ans Licht befördert hat. Die neuen Schwachstellen haben die CVE-IDs CVE-2014-7186 und CVE-2014-7187 erhalten und haben mit der eigentlichen ShellShock-Schwachstelle nichts zu tun.
CVE-2014-7186 ist eine Pufferüberlauf-Schwachstelle und CVE-2014-7187 ein Off-by-One-Fehler, beide Schwachstellen können evtl. bei der Auswertung von Eingaben, die eigentlich nicht zum Ausführen von Code führen würden, zur Ausführung eingeschleusten Codes ausgenutzt werden. Das klingt auf dem ersten Blick merkwürdig, da eine Shell ja generell zur Ausführung von Code gedacht ist, aber es mag Fälle geben, in denen ein Angreifer zwar Parameter für die Bash manipulieren, aber nicht direkt Befehle ausführen kann. Und der könnte dann die Schwachstellen unter Umständen auszunutzen, um zum Beispiel nach dem ausgelösten Pufferüberlauf eingeschleusten Code auszuführen.
Die Suche nach betroffenen Servern etc.
Zur Suche nach betroffenen Server oder zum Testen, ob ein bestimmter Server betroffen ist, kann zum Beispiel der Schwachstellenscanner Nexpose verwendet werden.
Für das Metasploit-Framework wurden bereits einige Module zum Testen der Schwachstelle veröffentlicht: Zur Überprüfung von
- Apache mod_cgi,
- Apache mod_cgi (Exploit),
- DHCP Clients,
- Dhclient (Exploit) und
- OS X / VMWare Fusion (Privilegieneskalation).
Weitere betroffene Systeme und Software
Es gibt auch Berichte über weitere betroffene Systeme:
- Die Weboberfläche der F5 BIG-IP Loadbalancer ist betroffen, der Angriff erfolgt über den HTTP-Header User-Agent.
- Daniel Cid von Sucuri hat festgestellt, dass die beiden
Skripte
/cgi-sys/entropysearch.cgi
/cgi-sys/FormMail-clone.cgi
von CPanel betroffen sind. CPanel wird auf ca. 2,9% aller Websites eingesetzt, was nach wenig klingt, angesichts der Vielzahl von Websites weltweit aber doch noch sehr viele potentielle Opfer ergibt. - Außerdem sind unter Umständen viele SCADA-Systeme/Industriesteuerungen betroffen, da dort die Bash vorhanden und zum Beispiel über eine Weboberfläche erreichbar ist.
Was sich auf einem von der Schwachstelle betroffenen Server alles so anstellen lässt hat Eli Carter zusammengefasst.
Das waren die Ereignisse vom 25. September. Am 26. September spitzte sich die Lage weiter zu.
Übersicht über alle Artikel zum Thema
- Alles, was Sie über ShellShock wissen müssen
- ShellShock - Die Schwachstellen und Angriffsvektoren
- ShellShock - Die Angriffe
- ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014
- ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
- ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
- ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014
- ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
- ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014
Trackbacks
Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen
Vorschau anzeigen