Shellshock-Bug: Wenn ein perfektes Ergebnis von 10,0 nicht so perfekt ist
Am24. September erfuhr die Welt von einer neuen Sicherheitslücke, dem Shellshock-Bug, der in den Annalen der Sicherheitslücken den OpenSSL Heartbleed-Bug in den Schatten stellen könnte. Shellshock ist zwar vielleicht nicht so weit verbreitet wie Heartbleed, aber gefährlicher, da es Angreifern nicht nur ermöglicht, Informationen zu stehlen, sondern auch anfällige Geräte vollständig zu übernehmen.
Shellshock basiert auf einer Schwachstelle in der GNU Bash-Shell und ermöglicht es Angreifern, Code über Programme wie OpenSSH, mod_cgi und DHCP-Clients auszuführen. Diese Programme von Drittanbietern verlassen sich auf die Bash für eine Vielzahl von Funktionen wie die Bereitstellung einer Shell für entfernte Benutzer oder die Ausführung von Befehlen. Aufgrund der Art und Weise, wie die Bash Umgebungsvariablen verarbeitet, können Angreifer bösartigen Code einschleusen, bevor sie die Bash-Shell starten. Die Bash analysiert Funktionen, die in Umgebungsvariablen übergeben werden, nicht korrekt, so dass Angreifer bei der Definition von Umgebungsvariablen nachgestellten Code einfügen können. Angreifer können dann diesen beliebigen Code ausführen.
Wie weit ist die GNU Bash verbreitet? Sie ist allgegenwärtig; die meisten Linux- und UNIX-Distributionen sowie Mac OS X enthalten sie als Standard-System-Shell. Daher kann der Shellshock-Bash-Bug eine ganze Reihe von Geräten betreffen, von Webservern über Cloud-basierte virtuelle Appliances bis hin zu Netzwerkgeräten.[1] Darüber hinaus ist der Angriff leicht auszunutzen - manchmal ohne Authentifizierung - und ermöglicht es Angreifern, ein System vollständig zu übernehmen, Daten zu stehlen oder Dienste zu unterbrechen.
Die National Vulnerability Database (NVD) des NIST bewertet die Schwachstelle CVE-2014-6271 mit der erschreckenden Note 10,0 von 10, 0 in Bezug auf Auswirkungen und Ausnutzbarkeit.
Da Shellshock so leicht auszunutzen ist, haben Forscher Angreifer beobachtet, die versucht haben, Server mit Malware zu infizieren, sich Fernzugriff zu verschaffen oder Dateien zu stehlen - manchmal sogar erfolgreich - und das nur wenige Stunden nach der Veröffentlichung des Fehlers. Durch automatische Scans und Angriffstools können Cyberkriminelle anfällige Systeme schnell identifizieren und ausnutzen.
Auswirkungen auf A10 Networks Produkte: Das Gute, das Schlechte und das bereits Geflickte
Die Produkte der Serien A10 Thunder, AX, ID und EX enthalten die GNU Bash-Shell und sind daher anfällig für den Shellshock Bash-Bug. Wenn ein Angreifer Zugriff auf die Shell der Verwaltungsschnittstelle eines A10-Produkts erhält und sich erfolgreich mit administrativen Anmeldeinformationen authentifiziert, kann diese Sicherheitslücke ausgenutzt werden.
Die gute Nachricht: A10 Networks war bisher NICHT in der Lage, diesen Zustand aus der Ferne mit irgendeinem A10-Produkt zu replizieren. Einer der Gründe, warum Shellshock vom NIST eine alarmierende Bewertung von 10,0 für die Ausnutzbarkeit erhalten hat, ist, dass Angreifer die Schwachstelle aus der Ferne ausnutzen können. Jeder, der über eine Internetverbindung verfügt, kann potenziell anfällige Geräte ausfindig machen, beliebigen Code ausführen und Systeme übernehmen.
Da die Datenschnittstellen der A10-Produkte nicht für Shellshock anfällig sind, können entfernte Angreifer dies glücklicherweise nicht ausnutzen. Bei den meisten A10-Bereitstellungen können Administratoren nur über einen Out-of-Band-Verwaltungsport auf die Verwaltungsschnittstellen zugreifen. Das bedeutet, dass ein Angreifer lokalen Zugriff auf die Verwaltungsschnittstelle eines A10-Produkts erhalten müsste, bevor er diese Schwachstelle ausnutzen könnte.
Darüber hinaus müsste sich ein Angreifer erfolgreich mit administrativen Lese-/Schreibrechten authentifizieren, bevor er Shellshock ausnutzen könnte. Da ein Angreifer administrative Rechte benötigt, um die Schwachstelle auszunutzen, würde Shellshock nicht notwendigerweise zusätzliche Privilegien gewähren, die über die eines A10-Produktadministrators hinausgehen.
Es ist wichtig zu wissen, dass die Web-Benutzeroberfläche der A10-Produkte kein CGI verwendet. Außerdem rufen die Verwaltungsprozesse keine Bash auf, um ihre Aufgaben zu erfüllen. Daher ist es äußerst unwahrscheinlich, dass eine manipulierte Variable in eine Umgebung gelangt, in der Bash sie ausführen könnte. Daher ist die Angriffsfläche für diese Schwachstelle bei den Produkten der Serien A10 Thunder, AX, ID und EX extrem begrenzt.
Verfügbarkeit von Software-Patches: Trotz der begrenzten Angriffsfläche empfiehlt A10 Networks , dass A10-Kunden einen Sicherheits-Patch anwenden, um den Shellshock-Bash-Bug zu entschärfen. Um den A10 Security Advisory einzusehen und Software-Patches für A10's Advanced Core Operating System (ACOS) herunterzuladen, besuchen Sie bitte das A10 Customer Support Portal.
Da wir davon ausgehen, dass in den kommenden Wochen weitere Sicherheitslücken im Zusammenhang mit Bash aufgedeckt werden könnten, werden wir weiterhin Sicherheits-Mailinglisten, Foren und CVE-Datenbanken überwachen und bei Bedarf schnell neue Sicherheits-Patches veröffentlichen. Die Zufriedenheit und Sicherheit unserer Kunden liegt uns sehr am Herzen. Daher werden wir umgehend auf neue Bash-Sicherheitsprobleme oder andere Schwachstellen reagieren, sobald sie auftauchen.
Schützen Sie gefährdete Infrastrukturen mit A10
Da mehr als fünfzig Prozent aller aktiven Websites auf Apache-Webservern laufen,[2] könnten die Besitzer von Anwendungen besorgt sein, dass ihre Websites ausgenutzt werden. Wenn Sie Ihre Anwendungen mit A10 Thunder oder AX Application Delivery Controllern (ADCs) ausbalancieren, machen Sie sich keine Sorgen, wir sind für Sie da.
A10 empfiehlt Kunden mit Apache-Webservern und CGI-Skripten, das folgende aFleX-Skript zu konfigurieren, um bekannte Shellshock-Angriffsvektoren zu entschärfen. A10-Kunden mit ACOS Version 2.7.0 oder höher können diese aFleX-Regel auf virtuelle HTTP- und HTTPS-Ports anwenden. Weitere Einzelheiten und Leistungsüberlegungen finden Sie im A10 Security Advisory. Diese Regel kann in regelmäßigen Abständen aktualisiert werden, wenn neue Informationen über den Shellshock-Bug gesammelt werden.
aFleX-Regel zum Schutz von Ursprungsservern mit anfälligen Diensten:
when HTTP_REQUEST {
if {[HTTP::request] contains "() {"} {
log "Detected CVE-2014-6271 attack in a request from [IP::client_addr]
request was [HTTP::request]"
TCP::close
drop
}
if {[HTTP::query] contains "() {"} {
log "Detected CVE-2014-6271 attack in a request from [IP::client_addr]
query was [HTTP::query]"
TCP::close
drop
}
if {[HTTP::header count] > 0} {
foreach req_header [HTTP::header names] { if {[HTTP::header values
$req_header] contains "() {" } { log "Detected CVE-2014-6271 attack in a
request from [IP::client_addr] in
header: $req_header"
TCP::close
drop
}
}
}
if {[ HTTP::cookie count] > 0} {
foreach r_cookie [HTTP::cookie names] {
if {[HTTP::cookie values $r_cookie] contains "() {" } { log "Detected
CVE-2014-6271 attack in a request from [IP::client_addr] in
Cookie: $r_cookie"
TCP::close
drop
}
}
}
}
[1] Beachten Sie, dass nicht alle Systeme mit Bash für den Shellshock-Bug anfällig sind.
[2] Netcraft September 2014 Web Server Survey
Sehen ist Glauben.
Vereinbaren Sie noch heute eine Live-Demo.