Et nyopdaget sikkerhedshul kan true et hav af Unix-lignende systemer. Det vil sige alt fra webservere, routere og desktop-maskiner med Mac og Linux. Det drejer sig om en sårbarhed, opdaget af opdaget af Stephane Chazelas, i den terminalbaserede kommandofortolker Bash.
Og da Bash er et endog særdeles udbredt program i et hav af miljøer, er omfanget af systemer, der kan være ramt af sårbarheden nærmest uoverskueligt.
Sikkerhedshullet gør det muligt for en angriber af udforme en særlig miljøvariabel og derefter afvikle shell-kommandoer på et sårbart system. Det oplyser blandt andet den danske it-sikkerhedsvirksomhed CSIS i en advisory, hvor sårbarheden bliver beskrevet som ‘superkritisk’.
Der er frigivet patches til flere Linux-distributioner, men sikkerhedsekspert Peter Kruse fra CSIS gætter på, at der de kommende måneder vil blive ved med at dukke eksempler op på, hvordan sårbarheden bliver udnyttet.
Blandt andet fordi en lang række systemer, herunder routere, formodes at køre sårbare Linux-versioner, som ikke nødvendigvis bliver patchet lige med det samme.
Derudover vil der også være adskillige servere, som ikke nødvendigvis har fået sikkerhedsopdateringer automatisk installeret, og som derfor også vil være sårbare. Eksempelvis af driftshensyn.
»Det er vigtigt at være bevidst om, hvor man måtte have potentielt sårbare systemer stående, så man kan få hentet opdateringer til dem.«
Peter Kruse påpeger, at sårbarheden er helt enkel at udnytte. Og han vurderer, at det vil resultere i deciderede orme, altså kode, der selv kan finde sårbare enheder, inficere dem og sprede sig videre derfra.
»Det er en grim sårbarhed, fordi den er så enkel at udnytte. Dermed er det også en sårbarhed, der lægger op til, at der vil komme selvreplikerende kode. Vi vil se en masse scanninger efter sårbarheden komme nu. Og jeg er bange for, vi i kølvandet på det, vil se noget kode, der automatisk vil forsøger at udnytte det her. Og det kan altså blive til en rigtig modbydelig orm, for at sige det ligeud,« siger han.
CSIS har registreret et stigende antal scanninger efter systemer, der indeholder Bash-sårbarheden.
Hvis en angriber overtager et system via Bash-sårbarheden, som er blevet navngivet Shell shock, vil angriberen i udgangspunktet kunne afvikle kode med samme rettigheder, som eksempelvis en webserver kører med.
»Det er det, der gør den rigtig slem. Den leder direkte til fuld system-kompromittering. Så det er i den rigtigt tunge kategori.«
Det britiske teknologi-medie The Register har også beskæftiget sig med sagen. De fortæller, at Bash op til version 4.3 er sårbar.
Eksempelvis kan en webserver være sårbar overfor bash-hullet, hvis den anvender CGI-scripts, der udfører Bash-kommandoer på nogen måde. Også DHCP-klienter og OpenSSH-klienter vil være sårbare på maskiner, der anvender bash.
CSIS oplyser, at følgende eksempel, kan anvendes til at teste sårbarhedens eksistens via cgi-bin. Eksemplet vil spawne en shell på TCP port 55555:
Sikkerhedshullet har ifølge The Register eksisteret i 22 år tilbage til version 1.13 af Bash og relaterer sig til, at når en miljøvariabel bliver tildelt en funktion, vil koden indeholdt i funktionen blive eksekveret.
Peter Kruse vurderer, at der ikke er tale om en bevidst indbygget sårbarhed, men snarere et uheld.
»Jeg tror, det er kompleksiteten i softwaren. Og når der er mennesker involveret, så bliver der begået fejl.«
It-sikkerhedseksperten Robert Graham skriver følgende opfordring på sin blog:
»Scan dit netværk for ting som Telnet, FTP og gamle versioner af Apache. (masscan er ekstremt brugbart til dette). Alt hvad der responderer er formentlig en gammel enhed, er har behov for en patch til Bash. Og eftersom mange af dem sikkert ikke kan patches, er du formentlig på røven.«
Shellshock, der flere steder bliver sammenlignet med det frygtede Heartbleed sikkerhedshul, der fik 11-tal på en skala fra 1 til 10 over alvorlighed af den anerkendte sikkerhedsmand Bruce Schneier.
Leave a Reply