Shellshock ist ein Fehler in der Shell-Befehlszeilenschnittstelle Bash, der seit 30 Jahren existiert und 2014 als erhebliche Bedrohung entdeckt wurde. Heute ist Shellshock immer noch eine Bedrohung für Unternehmen.
Die Bedrohung ist sicherlich weniger riskant als im Jahr der Entdeckung. Doch in einem Jahr, in dem die Sicherheitsprioritäten neu kalibriert wurden, um mit der chaotischen Landschaft Schritt zu halten, ist es ein guter Zeitpunkt, um auf diese Bedrohung und die zugrunde liegenden Faktoren zurückzublicken, die diese Angriffe heute am Leben erhalten.
Warum ist Shellshock im Jahr 2020 relevant?
Shellshock ist eine kritische Schwachstelle, da Angreifern erweiterte Rechte eingeräumt werden, die es ihnen ermöglichen, Systeme nach Belieben zu kompromittieren. Obwohl die ShellShock-Schwachstelle (CVE-2014-6271) im Jahr 2014 entdeckt wurde, ist bekannt, dass sie immer noch auf einer großen Anzahl von Servern weltweit vorhanden ist. Die Schwachstelle wurde bald darauf aktualisiert (CVE-2014-7169) und wurde bis 2018 verändert.
Der Hauptgrund, warum Shellshock immer noch im Einsatz ist, ist kein Schocker. Diese Sicherheitslücke ist ein einfacher und kostengünstiger Angriff, den böse Akteure gegen ein unwissendes Ziel einsetzen können. Patches sind seit dem CVE-Eintrag verfügbar, aber jedes Unternehmen ohne ein angemessenes Patch-Management-System kann immer noch anfällig sein.
Shellshock war 2017 immer noch bekannt. Wenn Angreifer nur einige grundlegende Programmierkenntnisse, einen Server und Zugang zu Malware benötigen, ist das nicht überraschend. Außerdem betragen die Kosten für die Durchführung eines Angriffs nicht viel mehr als ein paar Dollar pro Monat. Die Rechnung geht also für die Angreifer auf. Minimale Kenntnisse, geringer Aufwand und niedrige Kosten ergeben eine einfache Hacking-Strategie.
Trotz der umfangreichen Medienberichterstattung über Cybersicherheit und sogar einer Warnung des Heimatschutzministeriums bleiben einige Systeme ungepatched. In einem Fall haben Beamte des Center for Election Systems es versäumt, einen Patch aufzuspielen, der die Wahlsysteme in Georgia gefährdet hat.
Wie funktioniert Shellshock?
Laienhaft ausgedrückt handelt es sich bei Shellshock um eine Schwachstelle, die es ermöglicht, Systeme mit einer anfälligen Version von Bash auszunutzen, um Befehle mit höheren Rechten auszuführen. Auf diese Weise können Angreifer möglicherweise die Kontrolle über das System übernehmen.
Bei Shellshock handelt es sich um einen Sicherheitsfehler in der Bash-Shell (GNU Bash bis Version 4.3), der dazu führt, dass Bash unbeabsichtigt Bash-Befehle aus Umgebungsvariablen ausführt. Bedrohungsakteure, die diese Sicherheitslücke ausnutzen, können Befehle aus der Ferne auf dem Zielhost ausführen. Obwohl Bash nicht von Natur aus mit dem Internet verbunden ist, verwenden viele interne und externe Dienste wie Webserver Umgebungsvariablen, um mit dem Betriebssystem des Servers zu kommunizieren.
Wenn diese Dateneingaben vor der Ausführung nicht bereinigt werden – ein Standardprozess, der sicherstellt, dass kein Code Teil der Eingabe ist -, können Angreifer HTTP-Anforderungsbefehle starten, die über die Bash-Shell ausgeführt werden.
Schwachstelle im Detail
Web-Server sind nicht die einzigen anfälligen Netzwerkressourcen. Auch E-Mail- und DNS-Server, die BASH zur Kommunikation mit dem Betriebssystem verwenden, könnten betroffen sein. Während BASH normalerweise auf Unix-basierten Systemen zu finden ist, sind Unternehmen, die Windows-basierte Systeme verwenden, nicht immun. Diese nutzen wahrscheinlich Geräte oder Hardware, die anfällig sind. Denken Sie daran, dass BASH Teil von Heimroutern, vielen IoT-Geräten und eingebetteten Systemen sein kann.
Shellshock kann sogar für Denial-of-Service-Angriffe (DOS) verwendet werden.
Hier ist die Codezeile (eine Bash-Funktionsdeklaration, gefolgt von einem Semikolon und dem ’sleep‘-Befehl, der aus drei möglichen Pfaden ausgeführt wird, um sicherzustellen, dass er ausgeführt wird):
new_function() { :;} ; /bin/sleep 20 /sbin/sleep 20 | /usr/bin/sleep 20
Dieser „sleep“-Befehl zwingt den Server, zwanzig Sekunden zu warten, bevor er antwortet. Dabei werden die Ressourcen des Rechners im Wesentlichen als Geiseln gehalten, da der Rechner zwanzig Sekunden lang nichts anderes tun kann.
Ein einzelner sleep-Befehl mag harmlos sein, aber ein Angreifer kann ihn durch bösartigen Code ersetzen. Dieser Code kann dann dem Server oder der Ressource Handschellen anlegen, so dass er keine Anfragen mehr bearbeiten kann.
Das Risiko, dass schädliche Internetnutzer Befehle ihrer Wahl aus der Ferne ausführen können, ist hoch. Über die Öffnung können böswillige Akteure Programme auf dem System starten, ausgehende Verbindungen zu ihren eigenen Systemen herstellen und bösartige Software ausführen.
Vielleicht am kritischsten ist, dass die Schwachstelle ausgenutzt werden kann, um vertrauliche Daten und Informationen zu stehlen, die auf dem System gespeichert sind, wie z. B. Kreditkartendaten, Passwörter und persönlich identifizierbare Informationen (PII).
Ist Shellshock immer noch weit verbreitet?
Shellshock ist nicht mehr so weit verbreitet wie bei seiner Entdeckung im Jahr 2014. Stellen Sie sich die Herausforderung vor, alle anfälligen Server Ihres Unternehmens patchen zu müssen (und das waren damals viele).
Das heißt, Shellshock bleibt ein Problem.
Es gibt zum Beispiel eine laufende Cyber-Bedrohungs- und Schwachstellen-Kampagne namens „Sea Turtle“, die DNS-Einträge ausnutzt, um sich Zugang zu sensiblen Systemen zu verschaffen. Damit die Angriffe erfolgreich sind, sind eine Reihe gängiger Hardware- und Software-Schwachstellen erforderlich – Shellshock ist eine davon.
Auch wenn das Problem nicht mehr so weit verbreitet ist wie früher, sollte jedes Unternehmen sicherstellen, dass die gesamte Hard- und Software gepatcht und auf dem neuesten Stand ist.
Wie Sie wissen, ob Sie betroffen sind
Da Shellshock bereits sechs Jahre alt ist, gibt es zahlreiche Schwachstellen-Scanner. Einige von ihnen sind kostenlos. Einer davon, bashcheck, kann über Github heruntergeladen werden.
Für Technikbegeisterte reicht es auch, einen einfachen Befehl in die Bash-Eingabeaufforderung einzugeben:
env X=“() { :;} ; echo Bash is Infected“ /bin/sh -c „echo completed“
env X=“() { :;} ; echo Bash is Infected“ /bin/sh -c „echo completed“
env VAR='() { :;}; echo Bash is Infected‘ /bin/sh -c „echo completed“
Wenn die Eingabeaufforderung die Meldung „Bash is Infected“ zurückgibt, ist es Zeit für ein Update und eine Korrektur. Wenn Ihre Ausgabe nicht „Bash is Infected“ zurückgibt, wird sie mit etwas wie folgendem antworten:
bash: warning: VAR: ignoring function definition attempt
bash: error importing function definition for `VAR‘
Bash Test
Wenn Sie die Verwundbarkeit von Websites oder bestimmten CGI-Skripten testen möchten, kann das folgende Tool helfen: ‚ShellShock‘ Bash Vulnerability CVE-2014-6271 Test Tool. Geben Sie in eines der beiden Eingabefelder die URL der Website oder des CGI-Skripts ein, die Sie testen möchten, und klicken Sie auf die blauen Schaltflächen.
Was wir über Cybersicherheitsbedrohungen lernen können
Die wichtigste Lektion für Unternehmen ist, dass sie ihre Systeme patchen müssen.
Teams, die die Patching-Zeiten verkürzen können, sind in einer besseren Position, um diese Ressourcen für dringendere Sicherheitsbelange einzusetzen. Auch wenn einige Unternehmen das Patch-Management eher als IT-Verantwortung denn als Sicherheitsverantwortung betrachten, muss das Patch-Management für die Sicherheitsabteilungen immer an erster Stelle stehen, da es für die Sicherheitslage eines Unternehmens von entscheidender Bedeutung ist.
Wenn Ihre Systeme heute noch anfällig sind, gibt es wahrscheinlich einige zugrunde liegende betriebliche Probleme, die angegangen werden sollten. Shellshock ist eine sehr alte Sicherheitslücke, für die es für fast jedes System Patches gibt. Am besten schützen Sie sich vor dieser Art von Schwachstelle, indem Sie Ihre Systeme auf dem neuesten Stand halten und alle für diese Schwachstelle veröffentlichten Patches anwenden.
Beim Patchen von Anlagen, das normalerweise ein unkomplizierter Prozess ist, sollten Sie strategisch vorgehen.
Gründlich getestete Patches sind eine gute Möglichkeit, die Auswirkungen auf das Unternehmen zu minimieren – zum Beispiel bei einem geschäftskritischen Server mit einem alten Betriebssystem. Wenn ein System nicht sofort gepatcht werden kann, muss das potenzielle Risiko der Schwachstelle gegen die Auswirkungen auf das Geschäft abgewogen werden.
Shellshock ist nur eine in einer langen Liste von Schwachstellen, mit denen sich Unternehmen auseinandersetzen müssen. Die Verwaltung des scheinbar endlosen Stroms von Schwachstellen ist und bleibt eine wichtige Strategie, die die Cybersicherheit untermauert.
Checkliste für ein sicheres Unternehmen
Für ein erfolgreiches Schwachstellenmanagement müssen Unternehmen in der Lage sein, in diesen drei Bereichen erfolgreich zu sein:
- Schnelles Erkennen potenziell gefährlicher Schwachstellen: Schnelligkeit ist hier alles. Wenn alle Beteiligten an einem Strang ziehen und einen soliden Plan haben, sollten die Reaktionszeiten verkürzt werden.
- Bestimmung des Schweregrads der Sicherheitslücke: Wenn Sie die Risikotoleranz Ihres Unternehmens kennen, können Sie den Schweregrad einer Schwachstelle besser einschätzen. Je nach Netzinfrastruktur sind einige Schwachstellen schädlicher als andere.
- Einen Aktionsplan haben, der die Dringlichkeit der Sicherheitsmaßnahmen mit den möglichen Auswirkungen auf die Produktionsumgebung in Einklang bringt: Das Gleichgewicht zwischen Sicherheit, Produktion und Produktivität ist eine ständige Hürde, aber Unternehmen mit den am besten definierten Plänen für das Schwachstellenmanagement finden in der Regel das beste Gleichgewicht.
Für den unabhängigen Sicherheitsforscher Rod Soto war die größte Lektion, die er aus Shellshock gelernt hat, dass das Internet auf vielen anfälligen Anwendungen basiert und immer das Potenzial hat, einen großen Teil seiner Segmente zu kompromittieren.
„Der Weg, diese potenziellen Schwachstellen in Zukunft zu bewältigen, ist eine offene und transparente Kommunikation zwischen Entwicklern, Betreuern und Sicherheitsexperten“, sagt Soto. „Wenn also eine so umfangreiche und bedeutende Schwachstelle gefunden wird, kann die Koordination zwischen allen betroffenen Parteien genutzt werden, um die betroffenen Systeme zu patchen oder zu entschärfen.“
Selbst wenn Ihr Unternehmen das Risiko für Shellshock oder eine andere Schwachstelle erfolgreich entschärft, können Sie nicht davon ausgehen, dass Ihr Reaktionsplan perfekt ist. Der Reaktionsplan sollte ein lebendiges, atmendes Dokument sein und häufig überprüft werden, damit Ihr Unternehmen schnell auf Bedrohungen reagieren kann.
Schließlich gibt es, wie bei jedem Szenario nach einem Angriff, Fragen, die Sie sich bei der Überprüfung jeder Phase des Plans stellen sollten.
- Welche Teile des Plans waren erfolgreich?
- Welche Teile des Plans waren nicht erfolgreich?
- Was haben wir nicht getan, von dem wir jetzt wissen, dass wir es hätten tun müssen?
- Was haben wir gelernt, das es uns erlaubt, besser auf die nächste Schwachstelle vorbereitet zu sein, die uns begegnet?
Shellshock mag ein alter Angriff sein, aber für einen Angreifer bietet er alle Möglichkeiten, Opfer auszunutzen, denen es an angemessener Sicherheitshygiene fehlt.