ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014

Geschrieben von Carsten Eilers am Mittwoch, 1. Oktober 2014 um 14:43

Über Schwachstelle in der Unix-Shell Bash gibt es nicht nur immer mehr Angriffe, auch immer mehr Systeme und Programme erweisen sich als angreifbar.

Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am 24. September veröffentlicht. Am 25. September wurden die ersten Angriffe über die Schwachstelle entdeckt. Am 26. September setzte das Internet Storm Center die Alarmstufe auf Gelb herauf. Am 27. September wurden weitere Angriffe und eine neue kritische Schwachstelle gemeldet. Der 28. September war ein Sonntag, da haben wohl alle erst mal eine Pause gemacht, es gibt lediglich eine Meldung von Trend Micro über einen neuen Angriff in China: Bei einer "financial institution" wurden Systeminformationen ausgespäht.

tl;dr: "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.

29. September - Jede Menge Angriffe

Incapsulat hat Statistiken über die von seinen Web Application Firewalls abgewehrten Angriffe veröffentlicht. Insgesamt wurden bis zum 29. September mehr als 217.089 Exploit-Versuche an mehr als 4.115 Domains gezählt. Die teilen sich folgendermaßen auf:

68,27% sind Scan-Versuche, es wird also "nur" nach angreifbaren Servern gesucht.
18,37% sind Versuche, eine Shell zu öffnen oder einzuschleusen, die Angreifer wollen also direkt auf den Server zugreifen.
16,64% sind Versuche, einen DDoS-Schädling einzuschleusen und damit den Server zum Teil eines Botnets zu machen.
0,7% sind Versuche, den Server mit einem IRC-Bot zu infizieren und damit ebenfalls zum Teil eines Botnets zu machen.
0,02% sind Versuche, den Server zum Senden eines Requests an einen anderen Server zu bringen.

Neue Patches

Apple hat ein Update veröffentlicht, dass aber nur die ersten beiden Schwachstellen (CVE-2014-6271 und CVE-2014-7169) behebt. Insbesondere die damit vergleichbare, von Michal Zalewski gefundene Schwachstelle CVE-2014-6278 ist weiterhin offen.

Auch weitere auf Unix/Linux basierende NAS-Systeme sind betroffen: QNAP hat für seine NAS-Systeme Updates zum Beheben der Schwachstelle veröffentlicht. Und auch das erwartete Update für Synology-NAS wurde veröffentlicht.

Neue angreifbare Systeme

Im InfoSec Handlers Diary Blog des Internet Storm Center wurde eine Übersicht mit angreifbaren Systemen, die leicht übersehen werden, veröffentlicht:

Apache - ExecCGI kann außer in der httpd.conf auch in darin eingefügten Konfigurationsdateien wie denen von virtuellen Hosts konfiguriert werden.
Android - Die Bash ist zwar per Default nicht enthalten, kann aber nachinstalliert werden.
Windows - Windows selbst ist zwar nicht betroffen, durch die Installation von zum Beispiel cygwin kann es aber angreifbar sein, wenn cygwin durch einen Webserver erreichbar ist.
Embedded Devices - "Kleine" Geräte basieren oft auf busybox und sind nicht betroffen, auf "großen" kann aber die Bash vorhanden und zum Beispiel über die Weboberfläche angreifbar sein.
CGI-Webanwendungen - Auch wenn sie nicht für die Bash geschrieben sind können sie die Bash zum Beispiel über exec() oder popen() aufrufen und dadurch angreifbar sein.
Außerdem sind noch die folgenden Systeme/Geräte potentiell gefährdet und sollten überprüft werden:
- Web Content Control Server
- E-Mail Gateways
- Proxy Server
- Web Application Firewalls (WAFs)
- IPS Sensoren und Server
- Wireless Controller
- VoIP Server
- Firewalls
- Router und Switches ("Enterprise class", also "große" Geräte)
- Jede Virtuelle Maschine, die als Open Virtualization Archive (OVA) oder Open Virtualization Format (OVF) geliefert wurde.

Sie sehen, es gibt einiges zu tun. Aber mit etwas Glück wird es nicht mehr schlimmer, denn zumindest für den 30. September gibt es nichts zu berichten.

Carsten Eilers

Übersicht über alle Artikel zum Thema

Alles, was Sie über ShellShock wissen müssen
ShellShock - Die Schwachstellen und Angriffsvektoren
ShellShock - Die Angriffe
ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014
ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014
ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014

Trackbacks

Trackback-URL für diesen Eintrag

Dipl.-Inform. Carsten Eilers am Dienstag, 16. Dezember 2014: Vor Weihnachten ist noch einiges zu tun...

Vorschau anzeigen

Es ist bald Weihnachten, und bis dahin ist noch einiges zu tun. Und damit meine ich nicht die üblichen Aufgaben wie "Im letzten Moment die Geschenke kaufen" und "Am 23.12. Lebensmittelvorräte für die nächsten 4 Wochen einkaufen, w

Dipl.-Inform. Carsten Eilers am Montag, 22. Dezember 2014: 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen

Vorschau anzeigen

2014 wird als das Jahr in die Geschichte eingehen, in dem die Schwachstellen Namen bekamen. Vorher gab es bereits Namen für Schadsoftware, aber für Schwachstellen haben die sich erst dieses Jahr wirklich durchgesetzt. Die Schwachstelle von

Mo	Di	Mi	Do	Fr	Sa	So
← Zurück	April '24
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30