ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
Über Schwachstelle in der Unix-Shell Bash gibt es nicht nur immer mehr Angriffe, auch immer mehr Systeme und Programme erweisen sich als angreifbar.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht. Am
25. September
wurden die ersten Angriffe über die Schwachstelle entdeckt.
Am
26. September
setzte das Internet Storm Center die Alarmstufe auf Gelb herauf. Am
27. September
wurden weitere Angriffe und eine neue kritische Schwachstelle gemeldet.
Der 28. September war ein Sonntag, da haben wohl alle erst mal eine Pause
gemacht, es gibt lediglich eine
Meldung
von Trend Micro über einen neuen Angriff in China: Bei einer
"financial institution" wurden Systeminformationen ausgespäht.
tl;dr: "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
29. September - Jede Menge Angriffe
Incapsulat hat Statistiken über die von seinen Web Application Firewalls abgewehrten Angriffe veröffentlicht. Insgesamt wurden bis zum 29. September mehr als 217.089 Exploit-Versuche an mehr als 4.115 Domains gezählt. Die teilen sich folgendermaßen auf:
- 68,27% sind Scan-Versuche, es wird also "nur" nach angreifbaren Servern gesucht.
- 18,37% sind Versuche, eine Shell zu öffnen oder einzuschleusen, die Angreifer wollen also direkt auf den Server zugreifen.
- 16,64% sind Versuche, einen DDoS-Schädling einzuschleusen und damit den Server zum Teil eines Botnets zu machen.
- 0,7% sind Versuche, den Server mit einem IRC-Bot zu infizieren und damit ebenfalls zum Teil eines Botnets zu machen.
- 0,02% sind Versuche, den Server zum Senden eines Requests an einen anderen Server zu bringen.
Neue Patches
Apple hat ein Update veröffentlicht, dass aber nur die ersten beiden Schwachstellen (CVE-2014-6271 und CVE-2014-7169) behebt. Insbesondere die damit vergleichbare, von Michal Zalewski gefundene Schwachstelle CVE-2014-6278 ist weiterhin offen.
Auch weitere auf Unix/Linux basierende NAS-Systeme sind betroffen: QNAP hat für seine NAS-Systeme Updates zum Beheben der Schwachstelle veröffentlicht. Und auch das erwartete Update für Synology-NAS wurde veröffentlicht.
Neue angreifbare Systeme
Im InfoSec Handlers Diary Blog des Internet Storm Center wurde eine Übersicht mit angreifbaren Systemen, die leicht übersehen werden, veröffentlicht:
- Apache - ExecCGI kann außer in der httpd.conf auch in darin eingefügten Konfigurationsdateien wie denen von virtuellen Hosts konfiguriert werden.
- Android - Die Bash ist zwar per Default nicht enthalten, kann aber nachinstalliert werden.
- Windows - Windows selbst ist zwar nicht betroffen, durch die Installation von zum Beispiel cygwin kann es aber angreifbar sein, wenn cygwin durch einen Webserver erreichbar ist.
- Embedded Devices - "Kleine" Geräte basieren oft auf busybox und sind nicht betroffen, auf "großen" kann aber die Bash vorhanden und zum Beispiel über die Weboberfläche angreifbar sein.
- CGI-Webanwendungen - Auch wenn sie nicht für die Bash geschrieben sind können sie die Bash zum Beispiel über exec() oder popen() aufrufen und dadurch angreifbar sein.
- Außerdem sind noch die folgenden Systeme/Geräte potentiell
gefährdet und sollten überprüft werden:
- Web Content Control Server
- E-Mail Gateways
- Proxy Server
- Web Application Firewalls (WAFs)
- IPS Sensoren und Server
- Wireless Controller
- VoIP Server
- Firewalls
- Router und Switches ("Enterprise class", also "große" Geräte)
- Jede Virtuelle Maschine, die als Open Virtualization Archive (OVA) oder Open Virtualization Format (OVF) geliefert wurde.
Sie sehen, es gibt einiges zu tun. Aber mit etwas Glück wird es nicht mehr schlimmer, denn zumindest für den 30. September gibt es nichts zu berichten.
Übersicht über alle Artikel zum Thema
- Alles, was Sie über ShellShock wissen müssen
- ShellShock - Die Schwachstellen und Angriffsvektoren
- ShellShock - Die Angriffe
- ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014
- ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
- ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
- ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014
- ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
- ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014
Trackbacks
Dipl.-Inform. Carsten Eilers am : Vor Weihnachten ist noch einiges zu tun...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen
Vorschau anzeigen