Unter dem Namen "Shellshock" wurde in den letzten Tagen eine Sicherheitslücke in der sogenannten Bash-Shell weithin bekannt. Die Bash-Shell ist eine Kommandozeile, über die das System verwaltet werden kann und Skripte ausgeführt werden können. Sie ist heutzutage Teil fast aller Linux- und Unix-Systeme (auch des auf einem modifizierten Unix-Kernel basierenden Mac OS X).
Bei dem von Sicherheitsforschern humorvoll und plakativ als "Shellshock" bezeichneten Bug handelt es sich um eine sogenannte "Remote Code Execution"- (RCE-) Schwachstelle. Auf deutsch heißt das, dass von einem Angreifer über das Netzwerk (also ohne physischen Zugriff auf den betreffenden Rechner) Programmcode ausgeführt werden kann. Dies geschieht bei entsprechend programmiertem Schadcode ohne Zutun oder Wissen des Benutzers. Offiziell ist die Lücke übrigens weitaus weniger einprägsam als " CVE-2014-6271" und " CVE-2014-7169 " bei den Sicherheitsexperten dokumentiert.
Die Schwachstelle basiert auf einem Versäumnis bei der Interpretation geschickter Kommandos. Durch sogenannte "Code Injection" ist es möglich, in harmlos wirkenden Eingaben, die etwa von Bash oder anderen Anwendungen interpretiert werden, Programmcode zu "verstecken". Da dies in der Vergangenheit häufiger zu Problemen führte, ist es üblich, Eingaben entsprechend zu filtern, so dass alles, was als unerwünschter Befehl fungieren kann, aussortiert werden (auf Englisch als "Sanitizing" bezeichnet). Das Phänomen wird humorvoll dokumentiert vom bekannten Webcomic xkcd. Auch Bash verfügt über eine entsprechende Funktionalität. Diese allerdings weist mit "Shellshock" eine Schwachstelle auf, die nun ausgenutzt wird. Funktionsdefinitionen nämlich werden von Bash nicht ausgefiltert. Dies erschien nie notwendig. " In der Theorie ist es harmlos, eine Funktion, selbst eine gefährliche oder bösartige, zu definieren, vorausgesetzt, dass die Funktion niemals tatsächlich benutzt wird," erklärt das IT-Sicherheitsunternehmen Sophos in seiner "Shellshock"-Einführung, " Also sollte ein unerwartetes Semikolon in Kommando-Daten, die an Bash weitergegeben werden [mit einem Semikolon lassen sich Befehle verketten, ohne dass dies auf den ersten Blick auffällt], Misstrauen erregen, aber unerwartete Funktionsdefinitionen sollten keine Rolle spielen. Aufgrund des Shellshock-Bugs kann Bash aber dazu gebracht werden, Kommandos, die in einer Funktionsdefinition spezifiziert werden, auszuführen, statt sie harmlos zu archivieren und nicht zu nutzen. "
Die Schwachstelle ist nur durch ein entsprechendes Update von Seiten der verantwortlichen Entwickler, das eine strengere Überprüfung von Funktionsdefinitionen vorsieht, zu beheben. Ein derartiges Update allerdings wurde bislang noch nicht fertiggestellt. Einige Workarounds existieren bereits, können das Problem aber nur teilweise beheben. Die Entwickler der - gerade im Unternehmensbereich populären - Linux-Distribution Red Hat veröffentlichten bereits am vergangenen Mittwoch einen Patch. Nachdem Sicherheitsexperten jedoch Lücken in diesem Patch dokumentierten, die weiterhin eine Ausnutzung der Schwachstelle ermöglichten, musste Red Hat seine Kunden anweisen, dass das Update "nicht komplett" und weiterhin Vorsicht geboten sei.
Einem Bericht der Nachrichtenagentur Reuters zufolge wird "Shellshock" von Internet-Kriminellen bereits mit ersten Schadprogrammen - in Form von sich schnell und selbständig verbreitenden sogenannten Würmern - ausgenutzt. Dies habe das russische IT-Sicherheitsunternehmen Kaspersky Labs dokumentiert. Die Würmer scannen automatisch nach verwundbaren Systemen und infizieren diese, berichteten IT-Sicherheitsforscher am gestrigen Donnerstag.
Das zerstörerische Potential von "Shellshock" könnte erheblich sein. Zwar sind nicht alle Computer, auf denen eine Bash-Shell läuft, auch über diese Schwachstelle angreifbar. Da die Lücke jedoch das Ausführen beliebigen Codes bis hin zur Übernahme des Rechners erlaubt, sind die möglichen Folgen einer Infektion erheblich. Angreifer könnten Daten kopieren oder löschen, Rechner oder ganze Netzwerke lahmlegen oder die gekaperten Rechner für Angriffe auf andere Systeme missbrauchen.
Bislang gibt es keine zuverlässigen Zahlen darüber, wie viele Systeme durch "Shellshock" angreifbar sind. IT-Administratoren, die mit Linux- oder Unix-Systemen arbeiten, versuchen derzeit, festzustellen, ob die von ihnen betreuten Rechner zu den betroffenen gehören. Um angreifbar zu sein, muss ein System über das Internet erreichbar sein - was allerdings beispielsweise bei Linux-Rootservern in zentralen Rechenzentren die Norm ist, um eine Administration per Remote-Login zu ermöglichen - und neben der Bash-Shell muss weitere verwundbare Software laufen. Um welche Programme es sich dabei allerdings genau handelt, ist bislang noch nicht in Gänze bekannt. Sicherheitsforscher arbeiten auf Hochtouren, um diese und andere Fragen zu klären. Eine komplette Erforschung der Schwachstelle und ihres zerstörerischen Potenzials kann aber nach Ansicht der beteiligten Forscher noch Wochen oder gar Monate dauern.
Aufgrund der Beliebtheit von Linux- und Unix-Systemen auch für kritische Infrastrukturen könnten durch "Shellshock" erhebliche Schäden angerichtet werden. Joe Hancock, in London ansässiger IT-Sicherheitsexperte des Versicherungsunternehmen AEGIS, sagte in einer Stellungnahme gegenüber Reuters, er sei besorgt über das Potenzial, mit "Shellshock" nicht nur von Privatanwendern genutzt Breitband-Router, sondern auch Netzwerk-Hardware kritischer Infrastrukturen anzugreifen. Verschärft werde das Problem dadurch, dass bei vielen eingebetteten Systemen keine regelmäßigen Updates vorgesehen seien und eine Behebung der Schwachstelle somit schwierig bis unmöglich sei.
Die Folgen von "Shellshock" könnten somit noch über längere Zeit für sicherheitsrelevante Vorfälle sorgen und erhebliche Schäden anrichten.