Linux- und OS-X-Nutzer könnten Opfer einer Bash-Sicherheitslücke werden

Ein Fehler in der Bash-Shell, einer unter Linux und Unix genutzten Befehlszeilenoberfläche, könnte Webserver, Systeme und eingebettete Geräte wie Router anfällig für Angriffe von Cyber-Kriminellen machen. Diese bringen sich bereits in Stellung, um verschiedenste Angriffe zu starten, und Bitdefender rät Nutzern und Systemadministratoren zu äußerster Vorsicht im Umgang mit der Schwachstelle.

Und auch wenn der Code zur Ausnutzung der Bash-Sicherheitslücke mithilfe von CGI-Skripten bereits auf Pastebin verfügbar ist, müssen sich Hacker laut Bitdefender-Sicherheitsexperten schon sehr anstrengen, um anfällige Skripte zu finden.

„Die Auswirkungen können zwar schwer wiegend sein, aber hierbei handelt es sich doch eher um ein ‚Mini-Heartbleed‘, da die Schwachstelle nur unter bestimmten Bedingungen auf Linux- und Unix-Systemen ausgenutzt werden kann“, erklärt Bogdan Botezatu, leitender Experte für digitale Bedrohungen bei Bitdefender.

„Hacker müssten zuerst auf den Zielservern durch Aufrufen von #!/bin/bash nach anfälligen CGI-Skripten suchen, um Umgebungsvariablen zu übergeben, wohingegen im Falle von Heartbleed die Interaktion mit den Server viel einfacher war. Eine netzwerkbasierte Ausnutzung der Schwachstelle ist ebenfalls möglich, beschränkt sich aber auf bestimmte Szenarien.“

Die Remote-Ausführung von Code über Bash mit der ID CVE-2014-6271 wurde am 24. September vom Experten für Unix und Linux Stephane Chazelas entdeckt und steht im Zusammenhang mit der Verarbeitung von Umgebungsvariablen.

Laut Beschreibung der Schwachstelle auf SecLists wurde „angehängter Code in Funktionsdefinitionen ausgeführt, unabhängig vom Namen der Variable.“

Bei der Bewertung des Schadenpotenzials erhält die Sicherheitslücke vom National Institute of Standards and Technology 10 von 10 Punkten. Die Ausnutzung der Bash-Schwachstelle ermöglicht laut NIST den unbefugten Zugriff auf Informationen, unbefugte Modifikationen und sogar Dienstunterbrechungen.

Die Schwachstelle betrifft Bash-Versionen ab Release 4.3 und bedroht auch Apache-Webserver, da Bash-basierte CGI-Skripte durch Remote Code Injection angreifbar sind.

Chet Ramsey, der aktuelle GNU-Hauptautor von Bash, wird angeblich ein offizielles Upstream-Patch veröffentlichen.

Bereits Anfang des Jahres wurde eine weitere verheerende Schwachstelle in der OpenSSL-Bibliothek entdeckt. über die Heartbleed-Sicherheitslücke konnten Hacker selbst auf vermeintlich sichere Seiten zugreifen, um an vertrauliche Daten zu gelangen.

rn