Was Sie über Shellshock alias „Bash Bug“ wissen sollten

Die Gefahr

Vielleicht noch mehr als Heartbleed stellt die Sicherheitslücke Shellshock ein Problem und eine Gefahr dar, da sie ein weit verbreitetes Open-Source-Programm namens „bash“ betrifft.

Bash ist eine Command Shell für Linux, BSD, Mac OS X und viele andere „unixoide“ Beriebssysteme; die genaue Beschreibung der Sicherheitslücke liegt unter CVE-2014-7169 vor.

Kurz zusammengefasst ist dieser Fehler weit verbreitet, weist ein beträchtliches Schadenspotenzial auf und setzt wenige bis keine technischen Kenntnisse voraus, um ihn zu missbrauchen. Da mehr als die Hälfte der Server im Internet, Android-Telefone sowie die Mehrzahl der Internet-of-Things (IoT)-Geräte auf Linux aufsetzen, ist die Reichweite des Problems sehr groß.

Da auch Bitcoin Core mittels bash gesteuert wird, kann die Sicherheitslücke Auswirkungen auf Bitcoin-Miner und andere mit Bitcoin in Verbindung stehende Systeme haben und macht diese möglicherweise zu einem sehr interessanten Ziel für Angreifer.

Schon jetzt sehen wir Exploits im Internet, die diese Sicherheitslücke ausnutzen. So ist zum Beispiel der Schädling BASHLITE in der Lage, verteilte Denial-of-Service (DDoS)-Attacken zu starten. Außerdem kann er Brute-Force-Angriffe ausführen, um an Benutzernamen und Passwörter der der Anwender zu gelangen, die auf die infizierten Systeme und Geräte zugreifen. Trend Micro erkennt den Schädling als ELF_BASHLITE.A (auch bekannt als ELF_FLOODER.W).

Der Patch

Einige Linux-Distributionen haben Patches zur Verfügung gestellt, die das Problem teilweise beheben. Es empfiehlt sich, diese Patches zu schnell wie möglich einzuspielen und sich auf weitere Patches vorzubereiten, sobald Entwickler und Forscher bestätigen, dass diese einen vollständigeren Schutz vor der Bedrohung bieten. Fixes für Android-Telefone und andere Geräte müssen von den jeweiligen Herstellern bereitgestellt werden (wenn sie denn von ihnen bereitgestellt werden).

Die zeitliche Lücke

Es wird immer eine Lücke zwischen dem Zeitpunkt, an dem ein Patch zur Verfügung gestellt wird, und seiner erfolgreichen Implementierung in der jeweiligen Umgebung geben.

Deshalb ist es wichtig, mit einer Interimslösung zu arbeiten. In diesem Fall eignen sich insbesondere ein Intrusion-Prevention-System (IPS) oder andere netzwerkbasierenden heuristischen Verfahren, die den Netzwerkverkehr auf den betroffenen Instanzen überwachen.

Schutzlösungen auf Host-Ebene können den ein- und ausgehenden Netzwerkverkehr von und zu den Instanzen untersuchen, nach Angriffsversuchen Ausschau halten, diese blockieren, noch bevor sie ausgeführt werden, und die Server durch virtuelles Patchen wirksam absichern. Ein Trost: Der Exploit ist relativ einfach zu identifizieren, so dass eine IPS-Lösung in der Lage sein sollte, jeglichen Angriffsversuch abzuwehren, bevor er die angreifbare Software erreicht.

Was Sie jetzt tun sollten

Unser technischer Blogeintrag gibt detaillierte Anweisungen, welche Schritte Trend-Micro-Kunden im Einzelnen unternehmen sollten, um der Gefahr zu begegnen.

Wie gesagt, liegt für die meisten betroffenen Distributionen ein Patch vor, der die Sicherheitslücke teilweise schließt. Die Arbeiten an einer vollständigeren Lösung dauern noch an.

Das Problem ist akut und Gegenmaßnahmen sollten ohne Verzögerung eingeleitet werden. Zum Glück stellt sich der Maßnahmenplan sehr übersichtlich dar:

1. Endanwender sollten nach Patches für Mac-Rechner, Android-Telefone und alle anderen privaten Endgeräte Ausschau halten.

2. Betreiber von Linux-Systemen sollten die bash-Patches sofort einspielen.

3. Betreiber von Linux/Apache-Webservern, die bash-Skripte verwenden, sollten in Erwägung ziehen, für ihre Skripte andere Shells als bash zu nutzen, bis ein zuverlässiger Patch vorliegt.

4. Kunden von gehosteten Services sollten die Diensteanbieter kontaktieren, um zu erfahren, ob sie angreifbar sind und ob Pläne für eine Lösung des Problems bestehen.

Die nächsten Schritte, um Server abzusichern, sollten die folgenden sein:

1. Stellen Sie sicher, dass zu jedem angreifbaren Server ein vorgelagertes IPS-System implementiert ist, dass dieses aktiviert ist und Exploits für CVE-2014-7169 aktiv blockiert. Die Trend Micro-Lösung Deep Security kann als Testversion mit vollständigem Funktionsumfang (als Softwarelösung sowie als Service) Kunden unmittelbar helfen.

2. Sobald Patches vorliegen, sollten diese so schnell wie möglich eingespielt werden, um einen mehrschichtigen Schutz zu gewährleisten (im Zusammenspiel mit dem IPS-System).

3. Beobachten Sie die weitere Lageentwicklung.

Besitzer angreifbarer Desktops (z. B. auf Basis von Linux oder Mac OS X) sollten folgendes tun:

1. Nutzen Sie vorübergehend eine nicht angreifbare Shell. Die genannte Sicherheitslücke besteht im Augenblick nur in bash, während andere Shells davon nicht betroffen sind. Empfehlungen für Mac OS X-Nutzer sind hier abrufbar.

2. Implementieren Sie einen Patch, sobald er für Ihr Betriebssystem vorliegt.

Trend-Micro-Kunden

Trend Micro-Kunden können sich mit Hilfe des Knowledge-Base-Artikels informieren, der auf der Support-Site zum Abruf bereitsteht. Auf dieser Seite stehen alle Informationen zur Verfügung, insbesondere dazu, wie sich die verschiedenen Trend Micro-Produkte zu der Sicherheitslücke verhalten. Diese Informationen werden fortlaufend aktualisiert, weshalb die Seite in regelmäßigen Abständen konsultiert werden sollte.

Welchen Schutz bietet Trend Micro vor dieser Sicherheitslücke?

Kunden von Trend Micro Deep Security sollten das Update DSRU14-028 einspielen und folgende Regel anwenden:

  • 1006256 – GNU Bash Remote Code Execution Vulnerability

Angriffsversuche auf die Shellshock-Sicherheitslücke lassen sich auf Netzwerkebene mittels folgender Regel von Trend Micro Deep Discovery entdecken:

  • 1618 – Shellshock HTTP REQUEST

Weitere Trend Micro-Produkte wie OfficeScan, IWSVA und die Endverbraucherlösung Trend Micro Security (ehemals Titanium) identifizieren solche Angriffsversuche als CVE-2014-6171-SHELLSHOCK_REQUEST.

Anwender anderer Lösungen und Produkte können mit dem kostenlosen Trend Micro-Service „Free Protection for Shellshock“ ermitteln, ob sie betroffen sind.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

*