Dipl.-Inform. Carsten Eilers

FireEye hat eine Übersicht über die verschiedenen Angriffe "in the wild" veröffentlicht. Bisher wurden beobachtet:

• Klickbetrug - Über die Schwachstelle wird ein Aufruf an eine Webseite ausgelöst, die dort als Klick eines Benutzers gewertet wird.
• Reverse-Shell - Es wird eine neue Bash-Shell gestartet und an einen Netzwerk-Socket gebunden, so dass der Angreifer darauf zugreifen und den Rechner kontrollieren kann.
• Kopieren von /etc/passwd - Über die Bash wird die "Passwortdatei" (die inzwischen zwar keine Passwörter mehr enthält, aber immerhin noch die Benutzernamen) an den Angreifer geschickt.
• E-Mail-basierte Tests - Es werden Befehle eingeschleust, die eine E-Mail an den Angreifer schicken, wenn der Angriff erfolgreich ist. Danach dürften dann weitere Angriffe auf die so als angreifbar erkannten Server erfolgen.
• Einschleusen eines Perl-Skripts mit einer Reverse-Shell (genannt Bashattack), über die die Angreifer dann auf den Server zu greifen können.
• Installation eines IRC-basierten DDoS-Clients, der auch als Backdoor funktioniert (genannt Tsunami/Kaiten)
• Einschleusen eines PHP-Skripts, dass UDP-Pakete an einen Server senden kann und daher wohl für DoS-Angriffe mittels UDP-Flooding genutzt werden soll.
• Installation von Perl.Shellbot, einem weiteren IRC-basierten DDoS-Client mit Backdoor-Funktionen. Dabei wird zuerst wie oben beschrieben eine Reverse-Shell geöffnet und darüber dann Python-Code eingeschleust, der wiederum das Perl-Skript installiert - entweder wollte da jemand zeigen, wie viele Computersprachen er spricht, oder der Angriff wurde aus verschiedenen Quellen zusammen gesetzt.
• Installation einer weiteren Perl.Shellbot-Variante
• Installation einer Reverse-Shell als ELF-Executable - wenn man weder die Bash selbst noch eine Perl-Shell nutzen möchte kann man ja auch selbst ein ausführbares Programm einschleusen.

Mehr betroffene Programme

Auch der Mailserver qmail ist von der ShellShock-Schwachstelle betroffen, sofern /bin/sh ein symbolischer Link zur Bash ist und über qmail eine Mail an einen Benutzer ausgeliefert wird, in dessen .qmail-File ein Programm als Empfänger konfiguriert ist. Der Angriff erfolgt dann über präparierte E-Mail-Header.

Daniel Fox Franke hat die verschiedenen Angriffsvektoren zum Ausnutzen der Schwachstelle zusammen gestellt und dabei ebenfalls hier bisher nicht aufgeführte Möglichkeiten genannt:

• Inetd
• Mailserver, außer qmail werden Exim, Postfix und Procmail aufgeführt
• OpenVPN mit bestimmten Konfigurationen

Auf GitHub gibt es eine von Rob Fuller zusammengestellte Sammlung mit Links zu Proof-of-Concepts für etliche Programme, Dienste etc. sowie ein von Hanno Böck entwickeltes Test-Skript für die Bash.

Neue Schwachstellen und ein neuer Patch

Es gibt einen neuen, überarbeiteten Patch für zwei neue Schwachstellen, die von Michal Zalewski entdeckt wurden: CVE-2014-6277 ist eine aus der Ferne ausnutzbare Parsing-Schwachstelle, die zum Zugriff auf nicht initialisierten Speicher führt und dadurch das Ausführen von Code erlaubt. CVE-2014-6278 ist eine kritische, leicht ausnutzbare Möglichkeit zum Ausführen beliebigen Codes aus der Ferne, die Michal Zalewski für äquivalent zur ursprünglichen ShellShock-Schwachstelle hält.

Das wird immer Schlimmer - aber irgendwann muss doch mal Schluss sein. Oder?

Carsten Eilers

Übersicht über alle Artikel zum Thema

Alles, was Sie über ShellShock wissen müssen

ShellShock - Die Schwachstellen und Angriffsvektoren

ShellShock - Die Angriffe

ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014

ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014

ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014

ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014

ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014

ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014

ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014