Waarom de Shellshock-bug erger is dan Heartbleed

Afgelopen woensdag was er een ernstige softwarekwetsbaarheid genaamd Shellshock gemeld ; de bug zou kunnen worden misbruikt om wereldwijd miljoenen servers en andere apparaten in gevaar te brengen. We weten nog steeds niet hoe groot en kostbaar het probleem zal zijn, maar we weten al dat Shellshock ernstiger is dan de Heartbleed-kwetsbaarheid die in april veel aandacht kreeg.





Door Heartbleed getroffen software die door servers wordt gebruikt om communicatie te versleutelen en te beveiligen. Door de fout konden aanvallers gevoelige informatie zoals coderingssleutels of wachtwoorden van kwetsbare servers krijgen die later zouden kunnen worden gebruikt om in het geheim toegang te krijgen tot het systeem, bijvoorbeeld om persoonlijke gegevens te stelen.

Shellshock geeft een aanvaller veel meer kracht. Ze kunnen het gebruiken om volledige controle over een systeem te krijgen, zelfs zonder een gebruikersnaam en wachtwoord. Exploitatie van de kwetsbaarheid is eenvoudig en vereist geen geavanceerde vaardigheden.

Omdat een aanvaller Shellshock kan gebruiken om op afstand code op een systeem uit te voeren, kan het worden gebruikt om een ​​zelfreplicerende worm te maken. Het zou één gecompromitteerd systeem gebruiken om andere systemen aan te vallen, enzovoort, zich verspreidend over het netwerk en in korte tijd honderden of duizenden systemen compromitteren.



De Shellshock-kwetsbaarheid is gevonden in een softwarepakket genaamd bash , een opdrachtregelinterpreter of shell, die een krachtige, flexibele manier biedt om opdrachten op een computer uit te voeren. Het is de standaard voor alle op Linux gebaseerde besturingssystemen en Apple's Mac OS X. Bash wordt ook veel gebruikt op eenvoudige apparaten met internetverbinding, waarvan vele versies van Linux draaien, wat betekent dat niet alleen servers kunnen worden aangetast, maar ook sommige thuisrouters, IP-camera's enz.

Sommige populaire netwerkapparaten die veel door bedrijven worden gebruikt, zijn al als kwetsbaar aangemerkt. Mobiele apparaten lopen geen risico, tenzij u uw Apple- of Android-apparaat hebt aangepast om meer controle over de software te krijgen.

Shellshock is gevaarlijk omdat hoewel Bash niet direct wordt blootgesteld aan internet, sommige software die wel intern gebruik kan maken van Bash. De DHCP-software die uw verbinding met een Wi-Fi-netwerk onderhandelt, kan bijvoorbeeld opdrachten doorgeven aan Bash. Dit betekent dat iemand met een kwetsbaar besturingssysteem (meestal Linux) kan worden aangevallen wanneer hij verbinding maakt met een niet-vertrouwde wifi. (Het is vermeldenswaard dat verbinding maken met niet-vertrouwde wifi-netwerken altijd een risico is.)



Binnen een dag nadat Shellshock was gemeld, was er bewijs dat het werd gebruikt om aanvallen in het wild uit te voeren. Informatiebeveiligingsafdelingen van alle bedrijven en organisaties moeten preventieve maatregelen nemen, zoals het toepassen van beveiligingsoplossingen en nauwlettend toezicht op interne netwerken. Het Computer Emergency Readiness Team van de Verenigde Staten heeft: een waarschuwing afgegeven , en samen met andere beveiligingsorganisaties wereldwijd, raadt gebruikers en systeembeheerders aan om beveiligingsoplossingen zo snel mogelijk toe te passen.

Het is echter nog te vroeg om een ​​volledige lijst op te stellen van getroffen apparaten die moeten worden bijgewerkt. En hoewel onderzoekers en apparaatleveranciers details publiceren over welke apparaten kwetsbaar zijn en welke niet, voor sommige apparaten die in gebruik zijn, zal niemand het controleren omdat ze niet langer worden ondersteund of omdat documentatie ontbreekt.

Hoe sneller systemen worden geïdentificeerd en gepatcht, hoe lager het aantal beveiligingsrisico's - en financiële verliezen - dat door Shellshock wordt veroorzaakt. Het is mogelijk dat de economische effecten van deze bug ernstig zullen zijn, omdat één gecompromitteerd systeem veel mensen kan treffen. Een gecompromitteerde e-commercesite kan bijvoorbeeld niet alleen omzetverliezen veroorzaken als gevolg van downtime die nodig is om te patchen, maar ook miljoenen creditcardgegevens blootleggen, wat de consument hindert.



Cesar Cerrudo is de chief technology officer bij het computerbeveiligingsbedrijf IOActive Labs .

zich verstoppen