Shellshock: Yahoo, WinZip und Lycos fallen Angriffen zum Opfer

Bei der Angriffsserie auf die fatale Shellshock-Lücke in der Unix-Shell Bash ist es Cyber-Ganoven offenbar gelungen, Server von Yahoo, WinZip und Lycos zu kompromittieren. Das ergeben Recherchen des Sicherheitsforschers Jonathan Hall. Er machte sich kürzlich mit einem selbst entwickelten Tool auf die Suche nach Servern, die für die Bash-Lücke anfällig sind. Es nutzt zunächst Google-Suchanfragen, um potenziell verwundbare Systeme aufzuspüren und gräbt sich dann tiefer durch die Struktur der Site.

Hall wurde eigenen Angaben zufolge auf zahlreichen Servern fündig und musste in vielen Fällen sogar feststellen, dass er offenbar nicht er erste war, der dort eingestiegen war. Er stieß auf Skripte, die dafür sorgten, dass sich die Server in bestimmte IRC-Channel einloggten und dort auf beliebige Befehle warteten. Ferner fand er Skripte, mit denen die Server andere Server durch Shellshock angreifen können, um das Botnet zu erweitern. In dem IRC-Channel konnte Hall live mitverfolgen, welche Server sich nach der Infektion bei dem Botnet-Betreiber meldeten und welche Befehle sie erhielten. Hall gibt an, dass sich dort unter anderem Server von Yahoo.com, WinZip.com und Lycos.com blicken ließen.

Shellshock oder nicht?

Der Forscher informierte sowohl die betroffenen Unternehmen als auch das FBI über seine Beobachtungen. WinZip bestätigte den Angriff und gab an, dass keine Kundendaten betroffen seien. Lycos bestritt, dass seine Server kompromittiert sind, woraufhin Hall dem Unternehmen weitere Details zukommen ließ. Yahoos Sicherheitschef bestätigte zwar, dass Server gehackt wurden, es soll sich jedoch nicht um die Shellshock-Lücke gehandelt haben. Die Suchmaschinenfirma gibt ab, die betroffenen Server zwei Mal mit entsprechenden Patches abgesichert zu haben.

Der Einbruch sei gelungen, als ein Monitoring-Tool die Zugriffs-Logs eines angegriffenen Servers auswertete. In diesem Tool klaffte nach Angaben von Yahoo eine andere Sicherheitslücke, die sich zum Einschleusen von Befehlen eignet. Nutzerdaten sind angeblich nicht betroffen, die gehackten Server würden ausschließlich dazu dienen, Live-Informationen über Sportereignisse auszuliefern. Hall bezweifelt die Angaben des Unternehmens jedoch.

Jetzt patchen!

Shellshock besteht aus einem ganzen Komplex aus Sicherheitslücken mit eigenen CVE-Nummern, was unter anderem darauf zurückzuführen ist, dass Patches das Problem nicht vollständig beseitigen konnten. Die beiden letzten in diesem Kontext entdeckten Lücken tragen die CVE-Nummern CVE-2014-6277 und CVE-2014-6278.

Das Sicherheitsproblem betrifft sämtliche Bash-Versionen – von 1.14, das 1994 veröffentlicht wurde, bis hin zur aktuellen Version 4.3. Für Bash 4.2 steht seit kurzem der Patch bash42-053 und für Bash 4.3 der Patch bash43-030 bereit. Die beiden Patches sollen alle bisher bekannten Shellshock-Lücken abdichten.

Wie man den Patch anwendet, falls die abgesicherten Versionen noch nicht über das Repository der eingesetzten Linux-Distribution verteilt werden, erklärt die Website shellshocker.net. Dort findet man auch Hinweise, wie man die eigenen Systeme auf die verschiedenen Lücken abklopfen kann. Shellshock betrifft auch Mac OS X; hier müssen die Nutzer in jedem Fall selbst aktiv werden.

Durch Shellshock kann ein Angreifer Code in Umgebungsvariablen einfügen, der beim Start einer neuen Shell ungeprüft ausgeführt wird. Da Bash auf Unix-Systemen vielerorts zum Einsatz kommt, sollte man seine Systeme in jedem Fall auf den aktuellen Stand bringen; insbesondere dann, wenn es sich um öffentlich erreichbare Server handelt. Dort wird Bash unter Umständen von CGI-Skripten genutzt. Da CGI frei definierbare Inhalte des Requests in Umgebungsvariablen schreibt, kann ein Angreifer die Lücke dort über speziell präparierte HTTP-Requests ausnutzen. (rei)