1. Symantec-Broadcom-Horizontal/
  2. Shellshock-Sicherheitslücke

Shellshock-Sicherheitslücke

Shellshock Vulnerability

Shellshock: Informationen von Symantec

Wir aktualisieren diese Seite laufend mit neuen Informationen. Besuchen Sie diese Website deshalb regelmäßig.

Die Situation im Überblick

Eine neue Sicherheitslücke wurde entdeckt, die potenziell die meisten Versionen der Linux- und Unix-Betriebssysteme betrifft. Dazu gehört auch Mac OS X (das auf Unix basiert). Die unter dem Namen "Bash-Bug" oder "Shellshock" bekannte GNU Bash Remote Code Execution Vulnerability (CVE-2014-6271) kann es einem Angreifer ermöglichen, einen angegriffenen Computer zu übernehmen, wenn die Sicherheitslücke erfolgreich ausgenutzt werden konnte.
Die Sicherheitslücke befindet sich in Bash, eine weit verbreitete Komponente, die als Shell in zahlreichen Versionen von Linux oder Unix vorkommt. Bash hat die Funktion eines Befehlsspracheninterpreters. Das bedeutet, dass Benutzer Befehle in ein einfaches Textfenster eingeben können, die dann vom Betriebssystem ausgeführt werden.
Bash kann auch Befehle ausführen, die von Anwendungen an die Befehlszeile übergeben werden. Dies ist die Funktion, die von der Sicherheitslücke betroffen ist. Ein Befehlstyp, der an Bash gesendet werden kann, sind Befehle, mit denen Umgebungsvariablen festgelegt werden können. Umgebungsvariablen sind dynamische, benannte Werte, die sich darauf auswirken, wie Prozesse auf einem Computer ausgeführt werden. Die Sicherheitslücke besteht darin, dass ein Angreifer bösartigen Code an die Umgebungsvariable anheften kann, der ausgeführt wird, wenn die Variable empfangen wird.
Symantec stuft diese Sicherheitslücke als kritisch ein, da Bash häufig in Linux- und Unix-Betriebssystemen verwendet wird, die auf mit dem Internet verbundenen Computern, beispielsweise Webservern, ausgeführt werden. Obwohl bestimmte Bedingungen vorliegen müssen, damit die Lücke ausgenutzt werden kann, könnte ein erfolgreicher Angriff eine ferngesteuerte Ausführung von Code ermöglichen. Auf diese Weise könnte ein Angreifer nicht nur Daten von einem infizierten Computer stehlen, sondern auch die Kontrolle über den Computer übernehmen und eventuell Zugriff auf andere Computer im betroffenen Netzwerk erlangen.

Ausmaß der Sicherheitslücke

  • Die Sicherheitslücke betrifft potenziell die meisten Versionen der Linux- und Unix-Betriebssysteme. Dazu gehört auch Mac OS X (das auf Unix basiert).
  • Bash ist eine weit verbreitete Komponente, die als Shell in zahlreichen Versionen von Linux oder Unix vorkommt. Bash hat die Funktion eines Befehlsspracheninterpreters.
  • Hier ist eine Zusammenfassung der Exploits, die bisher bekannt sind:
  • 1. Einfache "Sicherheitslücken-Checks" durch angepasste User-Agents
  • 2. Bots, die die Shellshock-Sicherheitslücke ausnutzen
  • 3. Sicherheitslücken-Checks, die mehrere Header verwenden
  • 4. Verwendung mehrerer Header, um Perl Reverse Shell zu installieren (Beispiel: die Shell stellt eine Verbindung zu 46.246.34.82 Port 1992 her)
  • 5. Verwendung von User-Agent, um Systemparameter zurückzugeben
  • 6. User-Agent, der zur Installation von Perl Box verwendet wird
Bisher gibt es diese CVEs (Code Execution Vulnerability) für Shellshock: (Quelle: http://www.zdnet.com/the-shellshock-faq-heres-what-you-need-to-know-7000034219/)
  • CVE-2014-6271: Dies ist der ursprüngliche "Shellshock" Bash-Bug. Die meisten Nutzer beziehen sich wahrscheinlich in den meisten Fällen auf diese CVE, wenn sie über den Bash-Bug oder "Shellshock" sprechen.
  • CVE-2014-7169: Dies ist die CVE, die dem unvollständigen Patch für den ursprünglichen Bug zugewiesen wurde. Kurz nach der öffentlichen Bekanntgabe der Sicherheitslücke wurde festgestellt, dass der ursprüngliche Patch unvollständig ist. Eine Variante der ursprünglichen bösartigen Syntax kann es einem Angreifer ermöglichen, nicht autorisierte Aktionen durchzuführen, beispielsweise Daten in beliebige Dateien zu schreiben.
  • CVE-2014-7186 und CVE-2014-7187: Diese beiden CVEs bezeichnen Bugs, die im Zusammenhang mit dem ursprünglichen Bash-Bug entdeckt wurden. Diese beiden Bugs werden durch Syntax verursacht, die dem ursprünglichen Bash-Bug sehr ähnlich ist, doch anstatt Befehlsinjektionen können sie Out-of-Bounds-Speicherzugriffe zulassen. Bisher gibt es keine Hinweise darauf, dass diese Bugs über Remote-Angriffsformen verfügen und sie wurden auch noch nicht "in the wild" festgestellt.
  • CVE-2014-6277 und CVE-2014-6278: Sicherheitsforscher entdeckten zwei zusätzliche Bugs. Bei diesen beiden Bugs wird davon ausgegangen, dass sie das Potenzial zu beliebigen Befehlsinjektionen haben, ähnlich wie der ursprüngliche Bash-Bug. Bisher wurden jedoch noch keine detaillierten Informationen veröffentlicht, um genügend Zeit zu haben, entsprechende Patches zu erstellen.

Produktinformationen

Welche Symantec-Produkte sind von dieser Sicherheitslücke betroffen?

Die Bash-Sicherheitslücke, die auch als "Shellshock" bezeichnet wird und die es Angreifern ermöglicht, komplett die Kontrolle über ein angegriffenes Linux- oder Unix-basiertes System zu übernehmen, ist Symantec bekannt und Symantec reagiert darauf mit entsprechenden Maßnahmen. Interne Teams untersuchen kontinuierlich die Auswirkungen auf Symantec-Produkte und -Server und erarbeiten entsprechende Lösungen für auftretende Probleme.

Hier ist eine Liste von Produkten, die entweder nachweislich betroffen sind oder die betroffen sein könnten:
  • NetBackup Appliances – Versionen vor 2.6.0.2 können betroffen sein. Symantec Critical Systems Protection-Software ist standardmäßig in Version 2.6.0.2 enthalten und aktiviert, was die Risiken durch Shellshock reduziert. Informationen zur Installation von Updates und zu Terminen, wann Patches veröffentlich werden, finden Sie in diesem technischen Hinweis.
  • Deduplizierungs-Appliances – ältere Systeme der 50XX-Serie sind betroffen, es wird jedoch ein Patch bereitgestellt. Details finden Sie in diesem technischen Hinweis.
  • Symantec Security Information Manager (SSIM) – Eine der Voraussetzungen für die Ausnutzung dieser Sicherheitslücke ist die Möglichkeit, die Umgebungsvariablen zu modifizieren, um Code in diese Variablen injizieren zu können. SSIM-Implementierungen sind abgesichert ("gehärtet") und der Zugriff auf die Konsole ist geschützt. Das bedeutet, dass Benutzer ohne die entsprechenden Rechte keine Umgebungsvariablen ändern können. Die Anfälligkeit für diese Sicherheitslücke ist nur auf privilegierte Benutzer beschränkt. Informationen zur Installation von Updates und zu Terminen, wann Hot Fixes veröffentlich werden, finden Sie in diesem technischen Hinweis. SSIM ist ein auslaufendes Produkt und befindet sich derzeit in einer Phase des begrenzten Supports, bevor der Support für das Produkt 2017 eingestellt wird.
Hat Symantec Patches oder Hot Fixes zum Schutz vor der Shellshock-Sicherheitslücke veröffentlicht?

Ja. Informationen finden Sie in den technischen Hinweisen zu den jeweiligen Produkten:

Deduplizierungs-Appliances
Deduplication Appliances
Symantec Security Information Manager (SSIM)

So können Sie Ihr Risiko reduzieren

Hinweis für Unternehmen

Wir empfehlen allen Benutzern von Linux- oder Unix-basierten Systemen, die veröffentlichten Patches umgehend zu installieren. Derzeit haben folgende Anbieter Informationen, darunter Patch-Details, veröffentlicht:

*Red Hat hat seinen Sicherheitsratgeber für diese Sicherheitslücke aktualisiert und darauf hingewiesen, dass der ursprüngliche Patch unvollständig ist.

Nutzen Sie Symantec Data Center Security: Server Advanced, um Ihre Serverinfrastruktur zu "härten" und zu schützen. Mit DCS: Server Advanced können Sie Systeme vor den Auswirkungen dieser Sicherheitslücke schützen, indem Sie folgende Funktionen nutzen:
  • IPS-Funktion
  • Full Application Control und Sandboxing
Hinweis für Privatanwender

Privatanwender sollten sämtliche verfügbaren Patches auf Routern und auf anderen internetfähigen Geräten installieren, sobald diese Patches von den Anbietern veröffentlicht werden. Benutzer des Apple Mac OS X-Betriebssystems sollten wissen, dass das Betriebssystem derzeit mit einer anfälligen Version von Bash ausgeliefert wird. Mac-Benutzer sollten daher alle Patches für OS X installieren, sobald sie veröffentlicht werden.

Hilfe anfordern
Sprechen Sie mit einem Symantec-Sicherheitsexperten, indem Sie einen Rückruf anfordern.

Cyber Security Summit

Video ansehen

Hilfe anfordern

Rückruf anfordern