Angriffe auf ShellShock-Lücke häufen sich
Die kürzlich entdeckte Lücke in der Unix-Shell Bash wird nun von Angreifern aktive genutzt, um Webserver anzugreifen. Mittlerweile haben aber alle großen Linux-Distributionen ein zweites Update veröffentlicht, welches die Lücke entgültig stopfen soll.
- Fabian A. Scherschel
Die vor kurzem bekannt gewordene Bash-Lücke, in Anlehnung an den Ersten Weltkrieg unter dem Namen ShellShock bekannt, wird nun aktiv von Angreifern ausgenutzt, um Webserver anzugreifen. Auf GitHub ist Quellcode aufgetaucht, der es auch technisch weniger versierten Hackern erlaubt, verwundbare Systeme anzugreifen. Zudem verzeichnen mehrere Sicherheitsfirmen Angriffe auf Honeypot-Systemen. Auch heise Security liegen Log-Einträge vor, die nahelegen, dass Unbekannte versuchen, die Lücke auf Webservern anzugreifen. Ziel der Angriffe scheint es zu sein, die Zielrechner in Botnetze einzureihen.
Updates stehen bereit
Aber auch auf Seite der Verteidiger hat sich in den gut 48 Stunden seit Entdeckung der Lücke einiges getan. Linux-Distributionen wie Fedora, Red Hat Enterprise Linux (RHEL), Ubuntu, Debian und OpenSuse haben mittlerweile zwei Updates für Bash veröffentlicht. Der erste hatte die ursprüngliche durch Stéphane Chazelas entdeckte Lücke (CVE-2014-7169) geschlossen, allerdings wurde ein zweiter Patch (CVE-2014-6271) nötig, nachdem es Google-Forscher Tavis Ormandy gelungen war, das erste Update zu umgehen und Bash trotzdem zum Ausführen von Code zu bewegen. Nutzer sollten also auf jeden Fall prüfen, ob ihre Bash-Pakete auf dem neuesten Stand sind.
Die alternative Android-ROM CyanogenMod hat ebenfalls Updates veröffentlicht, im Gegensatz zu den meisten Android-Versionen wie den Images von Google ist dort nämlich Bash mit installiert. Andere Android-Systeme nutzen eine puritanischere Shell und sind damit nicht angreifbar. Auch das von manchen Nutzern nachinstallierte Busybox ist nicht betroffen.
Apple will ein Update ausliefern das die Lücke stopft, sagt aber bis jetzt noch nicht, wann Nutzer mit dem Fix rechnen können. Wer nicht warten kann, muss eine neue Bash-Version mit dem Patch kompilieren. Eine Installation einer neuen Bash via Macports ist nicht empfehlenswert, da diese die systemeigene Version nicht ersetzt und somit die Lücke nicht verlässlich stopft. Bevor man sich diese Mühe macht, sollte man allerdings bedenken, dass nach momentanem Wissensstand nur Webserver angegriffen werden. Die meisten Desktop-Systeme sind nicht in unmittelbarer Gefahr, da sie den aktuellen Exploits in der Regel keine Angriffsfläche bieten.
SELinux schützt vor Auswirkungen
Server, auf denen das Sicherheits-Framework SELinux aktiv ist, sind zwar nach wie vor angreifbar, die Schutzmechanismen schränken die Konsequenzen des Exploits allerdings stark ein. SELinux-Chefentwickler Dan Walsh erklärt in einem Blog-Artikel, dass ein Angreifer in diesem Fall vor allem dadurch eingeschränkt ist, dass der kompromittierte Bash-Prozess seine Rechte nicht ausweiten kann. Allerdings könnte ein Angreifer immer noch allerhand Daten auf dem Server einlesen. (fab)