Warum der Shellshock-Bug schlimmer ist als Heartbleed

Am vergangenen Mittwoch wurde eine schwerwiegende Software-Schwachstelle namens Shellshock bekannt gemeldet ; Der Fehler könnte ausgenutzt werden, um Millionen von Servern und anderen Geräten weltweit zu gefährden. Wir wissen immer noch nicht, wie weitreichend und kostspielig das Problem sein wird, aber wir wissen bereits, dass Shellshock schwerwiegender ist als die Schwachstelle Heartbleed, die im April große Aufmerksamkeit erregt hat.





Von Heartbleed betroffene Software, die von Servern zur Verschlüsselung und Sicherung der Kommunikation verwendet wird. Der Fehler ermöglichte es Angreifern, vertrauliche Informationen wie Verschlüsselungscodes oder Passwörter von anfälligen Servern zu erhalten, die verwendet werden könnten, um später heimlich auf das System zuzugreifen, um beispielsweise persönliche Daten zu stehlen.

Shellshock ermöglicht einem Angreifer viel mehr Macht. Sie können es verwenden, um die vollständige Kontrolle über ein System zu übernehmen, auch ohne einen Benutzernamen und ein Passwort zu haben. Die Ausnutzung der Schwachstelle ist einfach und erfordert keine fortgeschrittenen Fähigkeiten.

Da ein Angreifer Shellshock verwenden kann, um jeden Code auf einem System aus der Ferne auszuführen, könnte es verwendet werden, um einen selbstreplizierenden Wurm zu erstellen. Es würde ein kompromittiertes System verwenden, um andere Systeme anzugreifen usw., sich über das Netzwerk ausbreiten und in kurzer Zeit Hunderte oder Tausende von Systemen kompromittieren.



Die Shellshock-Schwachstelle wurde in einem Softwarepaket namens gefunden Basch , ein Befehlszeileninterpreter oder eine Shell, die eine leistungsstarke und flexible Möglichkeit bietet, Befehle auf einem Computer auszuführen. Es ist die Standardeinstellung für alle Linux-basierten Betriebssysteme und Apples Mac OS X. Bash wird auch häufig auf einfachen mit dem Internet verbundenen Geräten verwendet, von denen viele Linux-Versionen ausführen, was bedeutet, dass nicht nur Server, sondern auch einige Heimrouter kompromittiert werden könnten. IP-Kameras usw.

Einige beliebte Netzwerkgeräte, die von Unternehmen weit verbreitet sind, wurden bereits als anfällig identifiziert. Mobilgeräte sind nicht gefährdet, es sei denn, Sie haben Ihr Apple- oder Android-Gerät modifiziert, um mehr Kontrolle über seine Software zu erlangen.

Shellshock ist gefährlich, da Bash zwar nicht direkt dem Internet ausgesetzt ist, aber manche Software Bash intern nutzen kann. Beispielsweise kann die DHCP-Software, die Ihre Verbindung zu einem Wi-Fi-Netzwerk aushandelt, Befehle an Bash weitergeben. Dies bedeutet, dass jemand mit einem anfälligen Betriebssystem (meistens Linux) angegriffen werden könnte, wenn er sich mit einem nicht vertrauenswürdigen WLAN verbindet. (Es ist erwähnenswert, dass die Verbindung zu nicht vertrauenswürdigen Wi-Fi-Netzwerken immer ein Risiko darstellt.)



Innerhalb eines Tages, nachdem Shellshock gemeldet wurde, gab es Beweise dafür, dass es verwendet wurde, um Angriffe in freier Wildbahn zu inszenieren. Die Informationssicherheitsabteilungen aller Unternehmen und Organisationen sollten vorbeugende Maßnahmen ergreifen, wie z. B. das Anwenden von Sicherheitsfixes und die genaue Überwachung interner Netzwerke. Das United States Computer Emergency Readiness Team hat eine Warnung ausgegeben , und empfiehlt zusammen mit anderen Sicherheitsorganisationen weltweit Benutzern und Systemadministratoren, Sicherheitsfixes so schnell wie möglich anzuwenden.

Es ist jedoch noch zu früh, um eine vollständige Liste der betroffenen Geräte zu erstellen, die aktualisiert werden müssen. Und obwohl Forscher und Gerätehersteller Details darüber veröffentlichen, welche Geräte anfällig sind und welche nicht, wird bei einigen verwendeten Geräten niemand nachsehen, weil sie nicht mehr unterstützt werden oder die Dokumentation fehlt.

Je schneller Systeme identifiziert und gepatcht werden, desto weniger Sicherheitslücken – und finanzielle Verluste – verursacht Shellshock. Es ist möglich, dass die wirtschaftlichen Auswirkungen dieses Fehlers schwerwiegend sind, da ein kompromittiertes System viele Menschen betreffen kann. Beispielsweise könnte eine kompromittierte E-Commerce-Website nicht nur zu Umsatzeinbußen aufgrund von Ausfallzeiten führen, die für das Patchen erforderlich sind, sondern auch Millionen von Kreditkartendaten preisgeben, was den Verbrauchern Unannehmlichkeiten bereitet.



Cesar Cerrudo ist Chief Technology Officer des Computersicherheitsunternehmens IOActive Labs .

verbergen