Ein Jahr nach Shellshock – sind Ihre Server und Geräte besser geschützt?

Originalbeitrag von Trend Micro

Sicherheitsforscher waren die ersten, die auf die Shellshock-Angriffe von 2014 reagiert haben. Nach Bekanntwerden der fatalen Sicherheitslücke in Bash (Bourne Again Shell) – diese Shell findet sich in den meisten Versionen der Betriebssysteme Linux und Unix sowie Mac OSX – begannen die Forscher zu untersuchen, wie diese Lücke gegen betroffene Webserver genutzt werden kann. Die Shellshock-Lücke schien eine unmittelbare Bedrohung für mehr als eine halbe Milliarde Geräte und Systeme weltweit darzustellen.

Die Befürchtungen der Forscher sollten sich nur zu bald bewahrheiten. Die Cyberkriminellen nutzten die Shellshock-Lücke praktisch sofort in ihren Attacken, die sich gegen Geräte und Server richteten, welche die 25 Jahre alte Bash nutzten. Nur einige wenige Stunden, nachdem die Lücke bekannt geworden war, fanden Trend Micro-Forscher einen Exploit im Web. Ein Exploit-Exemplar brachte die Malware-Payload ans Licht, ELF_BASHLITE.A, die nicht nur den Fernzugriff, sondern auch Denial-of-Service-Angriffe ermöglichte.

Zwar hat sich ein Jahr später die Panik gelegt, doch die Bedrohung existiert weiter. Angriffe mit Shellshock-Bezug sind immer noch eine Plage in unserer digitalen Welt. Seit dem zweiten Quartal dieses Jahres haben wir mehr als 70.000 Angriffe auf Shellshock-Basis gezählt und rund 100.000 auf Basis von Heartbleed. Und allein in den vergangenen zwei Wochen haben wir 50 Angriffe auf einen unserer Honeypots, die über Shellshock angreifbar sind, beobachtet.

Bedrohungen mit Shellshock-Bezug gibt es weltweit. Verglichen mit der Situation vor einem Jahr hat sich auch bei den am meisten betroffenen Regionen wenig verändert. Im ersten Monat nach der Entdeckung von Shellshock befand sich die Mehrzahl der betroffenen Maschinen in Asien (34 Prozent), Europa (34 Prozent) und Nordamerika (11 Prozent). Im vergangenen Monat sah die Verteilung folgendermaßen aus: Asien mit 46 Prozent, Europa mit 23 Prozent und Nordamerika mit 14 Prozent. Die unzureichende Patching-Praxis in Asien hat zu der hohen Zahl an Infektionen in dieser Region beigetragen.

Shellschock_Abbildung1

Abbildung 1: Von Shellshock betroffene Regionen – Oktober 2014

Shellschock_Abbildung2

Abbildung 2: Von Shellshock betroffene Regionen – September 2015

Offene Quelle, offene Türen

Als Brian Fox und Richard Stallman vor zwanzig Jahren an Bash arbeiteten, war ihnen nicht bewusst, dass sie ein Schlüsselelement des modernen Internets entwickeln würden. Damals waren Sicherheitslücken als Problem noch in weiter Ferne. Heute jedoch laufen Millionen von Netzwerken Gefahr, aufgrund einer Lücke kompromittiert zu werden, die jahrelang offen blieb – und das war leider erst der Anfang.

Zahlreiche andere Sicherheitslücken wurden in Reaktion auf die Heartbleed-Shellshock-Panik im Opensource-Ecosystem entdeckt. Wir haben uns die Zahlen zu Sicherheitslücken angeschaut und dabei festgestellt, dass von den insgesamt 4.310 CVSS-Sicherheitslücken, die von Anfang bis August dieses Jahres offen gelegt wurden, 29 OpenSSL-Sicherheitslücken waren. Das sind mehr als die 24 OpenSSL-Sicherheitslücken, die im ganzen Jahr 2014 gefunden wurden!

Shellschock_Abbildung3

Abbildung 3: Anzahl der entdeckten OpenSSL-Sicherheitslücken – Gesamtjahr 2014 versus Januar bis August 2015

Sind Geräte und Server heute besser geschützt?

Entdeckung reicht nicht. Diese Sicherheitslücken geben Angreifern zu viele Möglichkeiten, davon betroffene Netzwerke zu infiltrieren. Wenn Geräte und Server nicht gepatcht werden, ist es noch ein weiter Weg, bis sie als abgesichert gelten können.

Leider bleibt jedoch das Patchen für die meisten Organisationen ein Problem. Nicht alle Systeme lassen sich problemlos patchen, vor allem Altsysteme nicht. Die meisten Geräte und Server bleiben also offen und damit der Gefahr einer Kompromittierung ausgesetzt. Um ihre Systeme zu verteidigen, sollten IT-Administratoren daher die Implementierung mehrschichtiger Sicherheitslösungen in Betracht ziehen, die in der Lage sind, Exploits, die Sicherheitslücken ausnutzen, zu entdecken und zu blocken. Zu solchen Lösungen zählen etwa diejenigen, die Teil von Trend Micro Custom Defense und der Smart Protection Suites sind. Zu deren Funktionalitäten und Leistungen gehören u.a.:

  • Die Überwachung von Sicherheitslücken und Bedrohungen, Forschungen zu Sicherheitslücken und die Entwicklung von Schutzregeln, Qualitätssicherung und Auslieferung von Regeln – implementiert in Deep Security; die Lösung hilft bei der Abwehr von alten und neuen Exploits in Netzwerken
  • Spezielle Entdeckungs-Engines und individuell angepasste Sandboxen, um mögliche Angriffe auf Basis von Exploits aufzuspüren – implementiert im Deep Discovery Inspector; die Lösung hilft, bei Angriffen schnell reagieren zu können
  • Innovatives Abschirmen von Sicherheitslücken und virtuelles Patchen, implementiert in Vulnerability Protection; die Lösung kann Endpunkte gegen bekannte Exploits abschirmen, bis sich Patches einspielen lassen. Der Schutzschirm wirkt aber auch zeitlich unbegrenzt bei Systemen, für die der jeweilige Hersteller keinen Support mehr leistet oder die nicht gepatcht werden können. Zu solchen Systemen zählen etwa Lösungen auf Basis von Windows 2003

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden .