ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014
Die ShellShock-Schwachstelle in der Bash wird inzwischen auch für Angriffe auf NAS-Systeme genutzt. Außerdem wurden Details zu den beiden von Michal Zalewski entdeckten Schwachstellen veröffentlicht. Eine davon erlaubt mit ShellShock vergleichbare Angriffe auf Systeme, die nur gegen die ursprüngliche Schwachstelle gepatcht wurden.
Was bisher geschah:
Die ShellShock genannte Schwachstelle in der Unix-Shell Bash wurde am
24. September
veröffentlicht. Am
25. September
wurden die ersten Angriffe über die Schwachstelle entdeckt.
Am
26. September
setzte das Internet Storm Center die Alarmstufe auf Gelb herauf. Am
27. September
wurden weitere Angriffe und eine neue kritische Schwachstelle gemeldet.
Der 28. September war ein Sonntag, da haben wohl alle erst mal eine Pause
gemacht, es gibt lediglich eine
Meldung
von Trend Micro über einen neuen Angriff in China: Bei einer
"financial institution" wurden Systeminformationen ausgespäht.
Am
29. September
nahmen die Angriffe weiter zu, und es wurden weitere angreifbare Systeme
entdeckt. Am 30. September war es mal wieder ruhig.
tl;dr: "Nebenan" gibt es eine kompakte Zusammenfassung der wichtigsten Informationen.
1. Oktober - Angriffe auf NAS-Systeme
FireEye hat Angriffe auf NAS-Systeme beobachtet. Bisher überwiegend in Japan und Korea sowie einen vereinzelten Angriff in den USA, aber das hat ja nicht viel zu bedeuten. Übers Internet ist jedes NAS nur ein Paar Klicks vom Angreifer entfernt.
Bisher konzentrieren sich die Angriffe auf Qnap-Systeme, auf denen der
bereits veröffentlichte
Patch nicht installiert ist. Die Angreifer verschaffen sich Zugriff auf
das NAS und fügen ihren SSH-Schlüssel zu den
vertrauenswürdigen Schlüsseln in der Datei
authorized_keys
hinzu und installieren eine Hintertür.
Dadurch können sie danach jederzeit auf das NAS zugreifen. Der
Angriff wird in FireEyes
Bericht
ausführlich beschrieben.
Was ist zu tun?
Bisher werden nur Qnap-Systeme angegriffen, aber das kann sich schnell
ändern. Wenn Sie ein Qnap-NAS besitzen, sollten Sie die bereit
gestellten Updates schnell installieren. Egal ob Sie das NAS nun mit dem
Internet verbunden haben oder nicht, denn die aktuellen Angriffe erfolgen
zwar über das Internet, aber auch nur im lokalen Netz erreichbaren NAS
könnten angegriffen werden, zum Beispiel über infizierte Rechner
im lokalen Netz. Aber das ist zumindest zur Zeit noch eine theoretische
Bedrohung, wirkliche Gefahr droht nur den mit dem Internet verbundenen
Geräten.
Wenn Sie ein NAS von einem anderen Hersteller besitzen, sollten Sie
zunächst auf der Website des Herstellers prüfen, ob es von der
ShellShock-Schwachstelle betroffen ist und ob es einen Patch gibt. Gibt es
einen, und das ist zumindest für Synology-Geräte
der Fall,
muss der schnell installiert werden. Gibt es keinen, sollten Sie
ihr NAS sicherheitshalber nicht mit dem Internet verbinden, bis die
Schwachstelle behoben wurde.
Neue Metasploit-Module, neue potentielle Opfer, neue Patches
Es gibt einige neue bzw. aktualisierte Module für das Exploit-Framework Metasploit:
- Pure-FTPd External Authentication Bash Environment Variable Code Injection (Exploit für die ShellShock-Schwachstelle CVE-2014-6271), ein bisher unbekannter Angriffsvektor
- Apache mod_cgi Bash Environment Variable Code Injection (Exploit für CVE-2014-6271 und die von Michal Zaleski entdeckte Schwachstelle CVE-2014-6278 (s.u.))
- OS X VMWare Fusion Privilege Escalation via Bash Environment Code Injection (Exploit für CVE-2014-6271)
- Dhclient Bash Environment Variable Injection (Exploit für CVE-2014-6271)
- Apache mod_cgi Bash Environment Variable RCE Scanner (Exploit für CVE-2014-6271 und CVE-2014-6278)
- DHCP Client Bash Environment Variable Code Injection (Exploit für CVE-2014-6271)
VMware hat ein Security Advisory und erste Patches veröffentlicht: Betroffen sind alle als (Virtual) Appliance ausgelieferten Produkte sowie der ESX Hypervisor.
Details zu CVE-2014-6277 und CVE-2014-6278 veröffentlicht
Michal Zalewski hat weitere Details zu den von ihm entdeckten Schwachstellen CVE-2014-6277 und CVE-2014-6278 veröffentlicht.
Die Schwachstelle CVE-2014-6277 besteht in der Verwendung von nicht
initialisierten Speicher und ist nur unter bestimmten Umständen
ausnutzbar. Sie erlaubt zwar die Ausführung beliebigen Codes aus der
Ferne und gilt damit als kritisch, deutlich gefährlicher ist aber die
Schwachstelle CVE-2014-6278: Eine Folge verschachtelter
$...
-Statements innerhalb eines Redirects bringt den Parser
aus den Tritt, der daraufhin alles was danach kommt ausführt. Der
Testcode für die Schwachstelle ist
() { _; } >_[$($())] { echo hi mom; id; }' bash -c :
und funktioniert mit Bash 4.2 und 4.3, aber nicht mit älteren Versionen. Was aber nur interessant ist, wenn man wissen möchte, wann die Schwachstelle implementiert wurde. Wichtiger ist aber, dass sie behoben wird, und die Patches dafür stehen seit einigen Tagen bereit. Wer sie noch nicht installiert hat, sollte das schnellstens tun. Denn Michal Zalewski schreibt zu dieser Schwachstelle
"The CVE-2014-6278 payload allows straightforward "put-your-commands-here" remote code execution on systems that are protected only with the original patch..."
Mit anderen Worten: Das ist ein Exploit, den sogar jedes Skriptkiddie nutzen kann.
Übersicht über alle Artikel zum Thema
- Alles, was Sie über ShellShock wissen müssen
- ShellShock - Die Schwachstellen und Angriffsvektoren
- ShellShock - Die Angriffe
- ShellShock - Chronologie und Details: Tag 1 - Der 24. September 2014
- ShellShock - Chronologie und Details: Tag 2 - Der 25. September 2014
- ShellShock - Chronologie und Details: Tag 3 - Der 26. September 2014
- ShellShock - Chronologie und Details: Tag 4 - Der 27. September 2014
- ShellShock - Chronologie und Details: Tag 6 - Der 29. September 2014
- ShellShock - Chronologie und Details: Tag 8 - Der 1. Oktober 2014
Trackbacks
Dipl.-Inform. Carsten Eilers am : 2014 - Das Jahr, in dem die Schwachstellen Namen bekamen
Vorschau anzeigen