Da medier verden over breakede nyheden om det kritiske Shellshock-hul i Unix-lignende systemer i onsdag, 24. september, i sidste uge, var sårbarheden kendt i sikkerhedskredse flere dage i forvejen.
Så da nyheden kom ud, var der således allerede opdateringer klar til flere af de ramte systemer.
Alligevel var det ifølge it-sikkerhedseksperten Peter Kruse fra CSIS stadig muligt at få adgang til aktive mainframes i statens it-systemer fra to af it-leverandørerne IBM og CSC så sent som lørdag 27. september i sidste uge ved at udnytte Shellshock-sårbarheden. Peter Kruse opdagede hullet ved selv at teste sårbarheden af på de to virksomheders mainframes, der begge kører på det Unix-lignende styresystem z/OS – dog uden at gennemføre ‘angrebet’.
»Det her er ultrakritisk – man efterlader stats-kritiske systemer sårbare. Det burde allerede være fikset inden den officielle advarsel kom ud. Det er for dårligt, når vi sætter millioner af kroner af til forsvar af private data,« siger han til Version2 og påpeger, at der har været tale om et generelt sikkerhedshul i z/OS.
For my Danish followers: det er efterhånden trivielt og uden mål – men mainframes hos CSC og IBM har shellshock svagheder mod WAN
— peterkruse (@peterkruse) September 27, 2014
Shellshock, der betegnes som ‘superkritisk’ af den danske it-sikkerhedsvirksomhed CSIS, udnytter en sårbarhed i den terminalbaserede kommandofortolker Bash, der gør det muligt for udefrakommende på helt enkel vis at afvikle kommandoer på systemet.
Styresystem manglede patch
Det kræver ikke mange hackerkundskaber for at udnytte Shellshock-sårbarheden ifølge Peter Kruse.
»Der er færdigbygget kode derude, som du bare kan bruge. Alle – selv 8-årige – ville kunne udføre det her angreb, det er virkelig banalt,« siger han.
Selvom det kan tage længere tid at patche større systemer som i de omtalte mainframes, så burde både CSC og IBM have gjort et bedre arbejde for tidligere at inddæmme hackernes muligheder for at udnytte sårbarheden, ifølge Peter Kruse.
»Det første man bør gøre er at forhindre åben adgang ind mod sårbarheden via firewall- og routerregler, så det i hvert fald ikke er det globale internet, som har adgang til sårbarheden,« siger han og fortsætter:
»Den her sårbarhed er det perfekte våben, for det er så let for hackerne at camouflere det, så de kan i princippet nappe alle de oplysninger, de har behov for, og så ved vi det først alt for sent.«
IBM har nu patched de pågældende systemer, oplyser virksomhedens kommunikationschef, Benedichte Strøm:
»IBM blev opmærksom på en sårbarhed, som potentielt kunne udnyttes og skabte og distribuerede derfor patches, der eliminerede problemet. For at udelukke utilsigtet hjælp til eventuelle hackere ønsker IBM ikke offentligt at diskutere detaljer, der involverer en sikkerhedsrisiko for eventuelle IBM systemer,« skriver hun i en mail til Version2.
Version2 har også bedt CSC om at kommentere på sårbarheden i dens mainframe og vil komme med en opdatering, når virksomheden har svaret.
For my Dansh followers: På trods af forsøg på at få folk i tale, er det #fail. Vi er “sitting ducks”
http://t.co/xhT4gjPT3d
— peterkruse (@peterkruse) September 27, 2014
Leave a Reply