Bash-Lücken

ShellShock-Angriffe auf WinZip und Lycos

Die unter dem Namen ShellShock bekannt gewordenen Schwachstellen in der Unix-Shell Bash werden für Angriffe auf Server großer Unternehmen genutzt. Getroffen hat es WinZip und Lycos, Yahoo bekam eher einen Streifschuss ab.

Die Kommandozeilenumgebung Bash (Bourne Again Shell) ist auf Unix-artigen Systemen, zu denen auch Linux und Mac OS X zu rechnen sind, die beliebteste Shell. Kürzlich wurden mehrere verwandte Sicherheitslücken in der Bash entdeckt, mit deren Hilfe ein Angreifer Code einschleusen und ausführen kann. Ein US-Unternehmen hat in dieser Woche gemeldet, Server der Unternehmen Yahoo, Lycos und WinZip seien durch Ausnutzen solcher Lücken kompromittiert und mit Malware verseucht worden.

Jonathan Hall, Präsident der IT-Firma Future South, berichtet im Blog seines Unternehmens detailliert, wie er die Angriffe "rumänischer Hacker" entdeckt und die betroffenen Unternehmen sowie das FBI informiert haben will. Auch die Reaktionen der Unternehmen stellt Hall aus seiner Sicht dar, findet sie allerdings reichlich spät und nicht zufriedenstellend.

WinZip hat immerhin bestätigt, dass es einen Angriff gegeben hat, bei dem Unbekannte mit Hilfe eines ShellShock-Exploits Script-Code eingeschleust haben. Laut Jonathan Hall handelt es sich dabei um in Perl geschriebene IRC-Bots. Im Script-Code hat Hall Kommentare in rumänischer Sprache gefunden.

Lycos hat laut Hall die Bescherung aufgewischt und jeden Einbruch in seine Server dementiert. Yahoo hingegen hat eingeräumt, dass drei Rechner kompromittiert wurden, die keine Nutzerdaten enthalten sollen. Es soll sich um Yahoo Sports API Server handeln, die Live-Streams ausliefern. Alex Stamos, bei Yahoo für die IT-Sicherheit zuständig, hat jedoch gegenüber Hacker News angegeben, der Einbruch sei nicht mit einem ShellShock-Exploit geglückt.

Die Maschinen seien schon zuvor zweimal mit den aktuellen Patches gegen die insgesamt sechs bekannten Varianten der Bash-Lücke abgedichtet worden. Zwar habe der Angriff mit einem Versuch begonnen, eine Bash-Lücke auszunutzen, die Angreifer hätten jedoch dann die Taktik gewechselt. Sie hätten eine ähnliche Schwachstelle in einem Script ausgenutzt, mit dem Wartungspersonal Log-Dateien auswertet. Die drei betroffenen Server seien isoliert und bereinigt worden.

Auch wenn diese Geschichte durch die teils widersprüchlichen Darstellungen durch die Beteiligten eher verwirrend erscheint: klar ist, dass offenbar etliche Personen das Web nach Rechnern absuchen, die für ShellShock-Exploits anfällig sind. Patches gegen die Bash-Lücken stehen für praktisch alle gängigen Systeme bereit – sie müssen nur eingespielt werden. Auch Apple hat mit dem "OS X bash Update 1.0" Flicken für sein Betriebssystem bereit gestellt. (PC Welt/mje)