Ein Fehler in der Bash-Shell, einer unter Linux und Unix genutzten Befehlszeilenoberfläche, könnte Webserver, Systeme und eingebettete Geräte wie Router anfällig für Angriffe von Cyber-Kriminellen machen. Diese bringen sich bereits in Stellung, um verschiedenste Angriffe zu starten, und Bitdefender rät Nutzern und Systemadministratoren zu äußerster Vorsicht im Umgang mit der Schwachstelle.
Auch wenn der Code zur Ausnutzung der Bash-Sicherheitslücke mithilfe von CGI-Skripten bereits auf Pastebin verfügbar ist, müssen sich Hacker laut Bitdefender-Sicherheitsexperten schon sehr anstrengen, um anfällige Skripte zu finden.
„Die Auswirkungen können zwar schwer wiegend sein, aber hierbei handelt es sich doch eher um ein ‚Mini-Heartbleed‘, da die Schwachstelle nur unter bestimmten Bedingungen auf Linux- und Unix-Systemen ausgenutzt werden kann“, erklärt Bogdan Botezatu, leitender Experte für digitale Bedrohungen bei Bitdefender.
„Hacker müssten zuerst auf den Zielservern durch Aufrufen von #!/bin/bash nach anfälligen CGI-Skripten suchen, um Umgebungsvariablen zu übergeben, wohingegen im Falle von Heartbleed die Interaktion mit den Server viel einfacher war. Eine netzwerkbasierte Ausnutzung der Schwachstelle ist ebenfalls möglich, beschränkt sich aber auf bestimmte Szenarien.“
Die Remote-Ausführung von Code über Bash mit der ID CVE-2014-6271 wurde am 24. September vom Experten für Unix und Linux Stephane Chazelas entdeckt und steht im Zusammenhang mit der Verarbeitung von Umgebungsvariablen.
Bei der Bewertung des Schadenpotenzials erhält die Sicherheitslücke vom National Institute of Standards and Technology 10 von 10 Punkten. Die Ausnutzung der Bash-Schwachstelle ermöglicht laut NIST den unbefugten Zugriff auf Informationen, unbefugte Modifikationen und sogar Dienstunterbrechungen.
Die Schwachstelle betrifft Bash-Versionen ab Release 4.3 und bedroht auch Apache-Webserver, da Bash-basierte CGI-Skripte durch Remote Code Injection angreifbar sind. Bitdefender hat bereits Angriffe gegen Web-Server bemerken können welche sehr einfach zu implementieren sind. Das typische Angriffsszenario umfasst ein automatisiertes Tool, das CGI-Skripte zugreifen kann und die Umgebungsvariable als User-Agent zu übergehen versucht (ein User-Agent ist ein String, der den Webserver sagt welche Art von Browser auf der anderen Seite verwendet wird, so dass der Server weiß wie die Daten formatiert sein sollten bevor diese gesendet werden).