Shellshock, eine Sicherheitslücke in der populären Bash-Shell, macht eine Reihe von Linux- und Unix-Systemen verwundbar für Angreifer.
Unter dem Namen „Shellshock“ wurde in den letzten Tagen eine Sicherheitslücke in der sogenannten Bash-Shell weithin bekannt. Die Bash-Shell ist eine Kommandozeile, über die man das System verwalten und Skripte ausführen kann. Sie ist heutzutage Teil fast aller Linux- und Unix-Systeme. Übrigens auch des auf einem modifizierten Unix-Kernel basierenden Mac OS X.
Shellshock
Bei dem von Sicherheitsforschern humorvoll und plakativ als „Shellshock“ bezeichneten Bug handelt es sich um eine sogenannte „Remote Code Execution“- (RCE-) Schwachstelle. Auf Deutsch heißt das, dass von einem Angreifer über das Netzwerk (also ohne physischen Zugriff auf den betreffenden Rechner) Programmcode ausführen kann. Dies geschieht bei entsprechend programmiertem Schadcode ohne Zutun oder Wissen des Benutzers. Offiziell ist die Lücke übrigens weitaus weniger einprägsam als „CVE-2014-6271“ und „CVE-2014-7169“ bei den Sicherheitsexperten dokumentiert.
Die Schwachstelle basiert auf einem Versäumnis bei der Interpretation geschickter Kommandos. Durch sogenannte „Code Injection“ ist es möglich, in harmlos wirkenden Eingaben, die etwa von Bash oder anderen Anwendungen interpretiert werden, Programmcode zu „verstecken“. Da dies in der Vergangenheit häufiger zu Problemen führte, ist es üblich, Eingaben entsprechend zu filtern, so dass alles, was als unerwünschter Befehl fungieren kann, aussortiert wird. Auf Englisch bezeichnet man das als „Sanitizing“. Das Phänomen wird humorvoll dokumentiert vom bekannten Webcomic xkcd.
Mangelde Filterfunktion
Auch Bash verfügt über eine entsprechende Funktionalität. Diese allerdings weist mit „Shellshock“ eine Schwachstelle auf, die Cyberkriminelle ausnutzen. Funktionsdefinitionen nämlich filtert Bash nicht aus. Dies erschien nie notwendig. „In der Theorie ist es harmlos, eine Funktion, selbst eine gefährliche oder bösartige, zu definieren, vorausgesetzt, dass die Funktion niemals tatsächlich benutzt wird,“ erklärt das IT-Sicherheitsunternehmen Sophos in seiner „Shellshock“-Einführung, „Also sollte ein unerwartetes Semikolon in Kommando-Daten, die an Bash weitergegeben werden [mit einem Semikolon lassen sich Befehle verketten, ohne dass dies auf den ersten Blick auffällt], Misstrauen erregen, aber unerwartete Funktionsdefinitionen sollten keine Rolle spielen. Aufgrund des Shellshock-Bugs kann Bash aber dazu gebracht werden, Kommandos, die in einer Funktionsdefinition spezifiziert werden, auszuführen, statt sie harmlos zu archivieren und nicht zu nutzen.“
Die Schwachstelle ist nur durch ein entsprechendes Update von Seiten der verantwortlichen Entwickler, das eine strengere Überprüfung von Funktionsdefinitionen vorsieht, zu beheben. Ein derartiges Update allerdings wurde bislang noch nicht fertiggestellt. Einige Workarounds existieren bereits, können das Problem aber nur teilweise beheben. Die Entwickler der – gerade im Unternehmensbereich populären – Linux-Distribution Red Hat veröffentlichten bereits am vergangenen Mittwoch einen Patch. Nachdem Sicherheitsexperten jedoch Lücken in diesem Patch dokumentierten, die weiterhin eine Ausnutzung der Schwachstelle ermöglichten, musste Red Hat seine Kunden anweisen, dass das Update „nicht komplett“ und weiterhin Vorsicht geboten sei.
Würmer nutzen Sicherheitslücke bereits aus
Einem Bericht der Nachrichtenagentur Reuters zufolge wird „Shellshock“ von Internet-Kriminellen bereits mit ersten Schadprogrammen – in Form von sich schnell und selbständig verbreitenden sogenannten Würmern – ausgenutzt. Dies habe das russische IT-Sicherheitsunternehmen Kaspersky Labs dokumentiert. Die Würmer scannen automatisch nach verwundbaren Systemen und infizieren diese, berichteten IT-Sicherheitsforscher am gestrigen Donnerstag.
Das zerstörerische Potential von „Shellshock“ könnte erheblich sein. Zwar sind nicht alle Computer, auf denen eine Bash-Shell läuft, auch über diese Schwachstelle angreifbar. Da die Lücke jedoch das Ausführen beliebigen Codes bis hin zur Übernahme des Rechners erlaubt, sind die möglichen Folgen einer Infektion schwerwiegend. Angreifer könnten Daten kopieren oder löschen, Rechner oder ganze Netzwerke lahmlegen oder die gekaperten Rechner für Angriffe auf andere Systeme missbrauchen.
Bislang gibt es keine zuverlässigen Zahlen darüber, wie viele Systeme durch „Shellshock“ angreifbar sind. IT-Administratoren, die mit Linux- oder Unix-Systemen arbeiten, versuchen derzeit, festzustellen, ob die von ihnen betreuten Rechner zu den betroffenen gehören. Um angreifbar zu sein, muss ein System über das Internet erreichbar sein – was allerdings beispielsweise bei Linux-Rootservern in zentralen Rechenzentren die Norm ist, um eine Administration per Remote-Login zu ermöglichen – und neben der Bash-Shell muss weitere verwundbare Software laufen. Um welche Programme es sich dabei allerdings genau handelt, ist bislang noch nicht in Gänze bekannt. Sicherheitsforscher arbeiten auf Hochtouren, um diese und andere Fragen zu klären. Eine komplette Erforschung der Schwachstelle und ihres zerstörerischen Potenzials kann aber nach Ansicht der beteiligten Forscher noch Wochen oder gar Monate dauern.
Keine Updates vorgesehen
Aufgrund der Beliebtheit von Linux- und Unix-Systemen auch für kritische Infrastrukturen könnte „Shellshock“ erhebliche Schäden angerichten. Joe Hancock, ein in London ansässiger IT-Sicherheitsexperte des Versicherungsunternehmens AEGIS, äußerte sich dazu. Er sei besorgt über das Potenzial, mit „Shellshock“ nicht nur von Privatanwendern genutzt Breitband-Router, sondern auch Netzwerk-Hardware kritischer Infrastrukturen anzugreifen. Das Problem verschärft sich dadurch, weil man bei vielen eingebetteten Systemen keine regelmäßigen Updates vorsieht. Eine Behebung der Schwachstelle sei somit schwierig bis unmöglich.
Die Folgen von „Shellshock“ könnten somit noch über längere Zeit für sicherheitsrelevante Vorfälle sorgen und erhebliche Schäden anrichten.
Tarnkappe.info
