Shellshock bedroht Unix-Systeme – schwerwiegender als Heartbleed?

1. Oktober 2014

Ein Team von Red Hat Security-Experten berichtete kürzlich in einem Blogartikel von der Entdeckung einer weitreichenden Sicherheitslücke in Unix-basierten Systemen. Die Sicherheitslücke mit Namen „Shellshock“ oder „Bash-Bug“ soll seit 1984 existieren und Hackern erlauben, Shell-Befehle auszuführen. Damit ist ein Hacker mit einfachen Mitteln in der Lage, Malware von der Ferne aus zu platzieren oder ganze Systeme zu übernehmen.

Eine Vielzahl von Unix-Systemen, sowohl Linux und Mac OSX, als auch die meisten Webserver, sollen davon betroffen sein. Das National Institute of Standards and Technology (NIST) bewertet Shellshock mit der Höchstwertung von 10/10 Punkten in den Kategorien Ernsthaftigkeit, Ausmaß und Ausnutzbarkeit. Gleichzeitig ist Shellshock wenig komplex und bietet Hackern damit beste Voraussetzungen. Daher schätzt Sicherheitsexperte Robert Graham von Errata Security die Sicherheitslücke gefährlicher ein, als den im April bekannt gewordenen OpenSSL-Heartbleed-Bug, der bislang als gravierendste Sicherheitslücke des Web galt.

I think I was wrong saying #shellshock was as big as #heartbleed. It’s bigger.

— Robert Graham (@ErrataRob) 25. September 2014

Shellshock wird noch viele Jahre lang Probleme bereiten

Robert Graham prognostiziert aufgrund der schieren Masse an möglicherweise betroffenen Systemen, dass die Sicherheitslücke noch viele Jahre lang Probleme bereiten wird. Ein umfassender Bug-Fix werde zudem durch das wachsende Internet der Dinge erschwert, da Geräte wie etwa Fernseher, Kühlschränke, Klimaanlagen etc., in hoher Zahl an das Netz angeschlossen werden und nur selten oder nie ein Update erhalten würden. Bereits wenige Stunden nach der Ankündigung wurde die Sicherheitslücke ausgenutzt, um mit wenig Aufwand Rechner zu infiltrieren und Botnetze aufzubauen. Das Ausmaß der Attacken sei zwar, gemessen an der Schwere der Sicherheitslücke, noch überschaubar. Experten vermuten daher, dass die Hacker mit ihren Angriffen keine große Aufmerksamkeit auf sich lenken wollen. Das Auftauchen eines sich schnell verbreitenden Wurms sei aber nur eine Frage der Zeit.

Ist mein System betroffen?

Um herauszufinden, ob Ihr System betroffen ist, müssen Sie den folgenden Befehl in die Kommandozeile ihres Systems (Terminal in OSX) eingeben:

env x='() { :;}; echo vulnerable‘ bash -c „echo this is a test“

Ist Ihr System betroffen, wird diese Antwort ausgegeben:

vulnerable

this is a test

Wie kann ich mich schützen?

Bislang gibt erst es Patches für die folgenden Linux-Distributionen (können hier abgerufen werden):

• Red Hat Enterprise Linux
• Fedora
• CentOS
• Ubuntu
• Debian
• OpenSuse

Zunächst sah Apple keine unmittelbare Bedrohung für den Normalanwender, lieferte nun jedoch Updates für die Mac OS X-Versionen Mavericks, Lion und Mountain Lion nach.