WeBLOG
ShellShock: Kritische Bash-Sicherheitslücken (26.09.2014)
Die Kommandozeilen-Umgebung GNU Bourne Again Shell (kurz: Bash), die auf den meisten unix-basierten Systemen die Standard-Shell ist (bei nahezu allen Linux-Distributionen sowie Mac OS X), hat eine gravierende Sicherheitslücke.

Unter Umständen ist das Ausführen von Schadcode aus der Ferne möglich, indem in die Umgebungsvariablen Code eingefügt wird, der von der Bash ungeprüft ausgeführt wird. Das ist insofern ein sehr grosses Problem, weil die meisten Webserver unter Linux laufen und dortige CGI-Scripts die Bash nutzen, d.h. es wäre somit ein Angriff über GET-Requests per HTTP möglich, um die volle Kontrolle des Webservers an sich zu reissen.

Auch sind viele SCADA- und ICS-Systeme, die in Industrieanlagen zum Einsatz kommen, mit der Bash ausgestattet, was zu fatalen Einbrüchen und Manipulationen führen kann. Hier wird man auf Updates lange warten müssen, sofern sie überhaupt kommen.

Ob das System von der Lücke betroffen ist, kann man einfach testen, indem in der Shell folgender Code ausgeführt wird:

env x=`() { :;}; echo Das System ist verwundbar!` bash -c "echo Das ist ein Test"

Bei Ausgabe von "Das System ist verwundbar! Das ist ein Test" ist das System betroffen (siehe obigen Screenshot), ansonsten erscheint folgende Ausgabe und alles ist in Ordnung:

bash: warning: x: ignoring function definition attempt
bash: error importing function definition for `x`
Das ist ein Test



Mittlerweile gibt es zwei Patches, die die Ausführung von Code in der Bash unterbinden. Zum einen zur entdeckten Lücke CVE-2014-7169
von Stéphane Chazelas und zum zweiten zur weiterführenden Lücke CVE-2014-6271 von Tavis Ormandy (ihm war es gelungen den ersten Patch auszuhebeln).

Anwender sollten die Bash-Pakete zügig auf den neuesten Stand bringen oder Bash deinstallieren und auf eine alternative Shell ausweichen, weil die Lücke bereits aktiv ausgenutzt wird und Webserver angegriffen werden (auch unserer, wie wir aus den Logs entnehmen können)! Mittlerweile gibt es auch einen auf Github veröffentlichten Quellcode, der es technisch weniger versierten kriminellen Hackern erlaubt, verwundbare Rechner anzugreifen. Es ist deshalb davon auszugehen, dass die Angriffe rasant zunehmen und sich ausbreiten werden.

Zu den meisten Linux-Distributionen wurden bereits neue Pakete veröffentlicht. Um die Bash-Pakete zu aktualisieren, kann man sich der Paketverwaltung über die jeweilige graphische Oberfläche bedienen oder per Kommandozeile vorgehen:
  • CentOS, Fedora, Red Hat und darauf aufgebaute andere Distributionen...:
    yum -y update bash

  • Debian, Ubuntu und darauf aufgebaute andere Distributionen...:
    sudo apt-get update && sudo apt-get install --only-upgrade bash
Von Apple gibt es noch kein Update (sind leider bzgl. Sicherheitsupdates immer am Hinterherhinken) aber es ist auch hier mit einer Schliessung der Lücke für OS X in Kürze zu rechnen. Das iOS ist nicht betroffen, weil hier eine andere Shell genutzt wird.
<update 30.09.2014>Apple hat für OS X 10.9, 10.8 und 10.7 ein Bash-Update zu den hier beschriebenen Lücken veröffentlicht (nicht für die drei weiteren), allerdings muss man sich das explizit herunterladen, sprich es ist NICHT in der Software-Aktualisierung enthalten.</update>

Gängige Android Distributionen (wie die Google-Images) sind ebenso nicht betroffen, weil hier nur eine Light-Version der Bash installiert ist, die keine Angriffsfläche bietet. "CyanogenMod" allerdings schon, weil hier die Bash in vollem Umfang vorhanden ist. Aber auch hierzu gibt es bereits Updates, die umgehend installiert werden sollten!.

Windows ist ganz aussen vor, weil es kein unix-basiertes Betriebssystem ist.
Kommentieren