ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
Die Schwachstelle in der Unix-Shell Bash, die das Ausführen beliebiger Befehle über das Internet erlaubt, wird immer intensiver für Angriffe genutzt. Daraufhin hat das Internet Storm Center die Alarmstufe Gelb für das Internet ausgerufen.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht. Am
25. September
wurden die ersten Angriffe über die Schwachstelle entdeckt.
tl;dr: "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
26. September - Alarmstufe Gelb für das Internet
Das Internet Storm Center hat den InfoCon-Status, der die Gefährdung im Internet anzeigt, auf Gelb erhöht. Auslöser waren Anzeichen für einen Wurm oder ein Botnet, dass die ShellShock-Schwachstelle ausnutzt.
Neues zu den Angriffen
Die Angriffe nehmen weiter zu: Ein wopbot genanntes Botnet scannt das Internet nach angreifbaren Systemen, einschließlich denen des US-Verteidigungsministeriums (United States Department of Defence), um sich dann über die ShellShock-Schwachstelle zu verbreiten. Bisher wurde das Botnet bereits für DDoS-Angriffe auf Akamai eingesetzt.
Auch Trend Micro hat Neues zu den Angriffen über die Schwachstelle zu berichten:
- Man konnte zwei der Command&Control-Server für die darüber eingeschleusten Hintertür ELF_BASHLITE untersuchen. Demnach werden die darüber aufgebauten Botnets für DDoS-Angriffe genutzt.
- Neue Angriffe wurden in Brasilien beobachtet, dort haben die Angreifer es auf "official institutions" abgesehen, es wird aber kein Code eingeschleust, sondern nur Informationen über die Systeme gesammelt.
Neues zu betroffenen Systemen
Auch auf Unix/Linux basierende NAS-Systeme sind betroffen. Synology hat ein Advisory veröffentlicht, die Bash ist zwar im Synology NAS-Betriebssystem DiskStation Manager (DSM) enthalten, aber nur für die Verwendung durch den High Availability Manager (HA Manager) vorgesehen und nicht vom Benutzer erreichbar. Updates sind trotzdem in Vorbereitung.
Oracle hat einen Security Alert zur ursprünglichen ShellShock-Schwachstelle CVE-2014-7169 veröffentlicht, der gleichzeitig die weiteren Schwachstellen abdeckt. Zusätzlich gibt es eine Liste der betroffenen Produkte und ihres Patch-Status. Die Liste der Produkte ohne Patch ist erschreckend lang.
Fortinet hat untersucht, ob iOS und Android von der Schwachstelle betroffen sind und konnte teilweise Entwarnung geben: Die Bash ist nur auf Systemen vorhanden, die erstens jailbroken/rooted sind und auf denen zweitens die Bash direkt von Benutzer oder von einem Programm installiert wurde. Das reicht aber für einen Angriff noch nicht aus, zusätzlich muss ein Angreifer noch in der Lage sein, auf dem Gerät eine Environment-Variable zu manipulieren. Was relativ unwahrscheinlich ist, da es sich ja um Smartphones, Tablets und ähnliches handelt und nicht um aus dem Internet erreichbare Server mit öffentlich zugänglichen Diensten etc..
Die Angriffe häufen sich, das ISC gibt gelben Alarm - es brennt im Internet. Und die Feuerwehr ist nicht in Sicht, ganz im Gegenteil.
Übersicht über alle Artikel zum Thema
- Alles, was Sie über ShellShock wissen müssen
- ShellShock - Die Schwachstellen und Angriffsvektoren
- ShellShock - Die Angriffe
- ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014
- ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
- ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
- ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014
- ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
- ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014
Trackbacks
Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen
Vorschau anzeigen