Bash-Lücke: ShellShock ist noch nicht ausgestanden

Stimmen in der Security-Szene bezeichnen ShellShock, die kürzlich entdeckte Lücke in der Unix-Shell Bash, bereits als ein größeres Sicherheitsdebakel als Heartbleed. So können unter anderem Webserver, die CGI-Skripte ausführen, darüber angreifbar sein. Diese Einschätzung ist durchaus diskutabel, sicher aber ist, dass die Lücke Systemadministratoren noch gehöriges Kopfzerbrechen bereiten wird. Außerdem ist sie wohl seit der ersten Bash-Version vorhanden, was bedeutet, dass Systeme bereits seit gut 25 Jahren verwundbar sind.

Unwirksamer Patch

Ähnlich wie bei Heartbleed schaut die ganze Hacker-Szene gerade auf Bash und klopft es nach weiteren Problemen ab. So ist jetzt schon herausgekommen, dass der am gestrigen Mittwoch von fast allen Linux-Distributionen ausgegebene Patch wohl die Lücke nicht vollständig stopft. Mit ein paar kreativen Änderungen lassen sich die Exploits zum Teil immer noch nutzen. Linux-Distributor Red Hat untersucht das neue Problem gerade. Im Unterschied zur Original-Lücke (CVE-2014-6271) wurde dem neuen Problem nun die CVE-Nummer 2014-7169 zugeteilt, um weitere Patches zu koordinieren. Auf Mac OS sind immer noch beide Lücken offen.

Mittlerweile gibt es ein Metasploit-Modul, um Schadcode mit Root-Rechten aus einer virtuellen Maschine in VMware Fusion heraus auf Mac OS auszuführen und mit einem weiteren kann man verwundbare Systeme im Netz aufspüren. Außerdem soll ein DDoS-Botnetz die Lücke bereits ausnutzen.

Das ganze Ausmaß der Katastrophe

Wie auch schon bei Heartbleed hat Robert Graham von Errata Security das Internet nach angreifbaren Systemen durchsucht, fand aber nur einige Tausende im Gegensatz zu Hunderttausenden beim SSL-Gau – wobei sein Skript wohl einen Fehler enthielt und er beim nächsten Scan mehr Treffer erwartet. Die niedrigere Zahl von verwundbaren Systemen hat wahrscheinlich damit zu tun, dass neuere Web-Frameworks in der Regel kein CGI einsetzen. Bei den Treffern wird es sich um ältere CGI-Anwendungen handeln, welche in Bash geschrieben sind oder die Funktionen der C-Bibliothek system() und popen() verwenden.

Obwohl also weniger Server anfällig zu sein scheinen als bei Heartbleed, ist die Sicherheitslücke für betroffene Systeme doch gravierend, da der Angreifer sofort die volle Kontrolle über den Server an sich reißen kann. Graham warnt deshalb davor, dass die Lücke ausgenutzt werden könnte, um einen Wurm zu schreiben, der von Server zu Server springt. Er will bereits Angreifer ausgemacht haben, die sein Portscanner-Tool Masscan einsetzen, um Schadcode an betroffene Rechner zu verteilen.

Ein Grund zum Aufatmen ist allerdings, dass Busybox nicht betroffen ist. Damit sind die meisten Embedded-Linux-Systeme wie zum Beispiel Router, die Busybox an Stelle von Bash und den GNU-Kommandozeilentools einsetzen, nicht angreifbar. Andererseits sollen eine Reihe von ICS- und SCADA-Systemen, die in Industrieanlagen zum Einsatz kommen, trotzdem angreifbar sein, da auf ihnen Bash vorhanden ist. Das Problem hier ist, dass es in der Regel Monate dauert, bis die Hersteller Updates liefern – wenn sie es überhaupt tun.

Korrektur: Beschreibungen von system() und popen() verbessert. (fab)