Shellshock macht das Internet unsicherer

Kein halbes Jahr nach dem Heartbleed-Bug versetzt eine neue Sicherheitslücke die Internet-Welt in Aufregung: «Shellshock» soll nicht nur Server im Internet betreffen, sondern auch unzählige weitere Geräte. Die Folgen des neuen Bugs lassen sich auch am Tag nach seiner Entdeckung schwer absehen.

Eine Shell-Muschel mit Blitzen vor Programm-Code Bild in Lightbox öffnen.

Bildlegende: Shellshock: Was ein rechter Bug ist, braucht auch ein zünftiges Logo... Paul M. Gerhardt

Nach dem Bekanntwerden der Shellshock-Lücke am Donnerstag waren Experten geteilter Meinung, wie schwerwiegend der Bug nun wirklich sei. Einige wiesen darauf hin, dass Serverbetreiber die Lücke mit einfachsten Mitteln schliessen können und das bei wichtigen Systemen wohl schon lange geschehen sei. Doch andere betonten, dass allein die riesige Menge von potenziell angreifbaren Maschinen Shellshock zu einem weit schwerwiegenderen Problem als den Heartbleed-Bug mache, der Anfang April dieses Jahres bekannt wurde.

Auch in der Zeitspanne, die bis zum Bekanntwerden der Sicherheitslücke verging, unterscheiden sich die beiden Bugs: Während die kritische Zeit bei Heartbleed nur gerade zwei Jahre betrug, dauerte es über 20 Jahre, bis mit dem Franzosen Stéphane Chazelas jemand auf den Shellshock-Bug aufmerksam machte.

Erste Shellshock-Würmer im Umlauf

Der Sicherheitsexperte Robert Graham, der Shellshock als einer der ersten genauer untersuchte, kam nach einem schnellen (keineswegs kompletten) Scan auf über 3000 Server, die wegen Shellshock mit einfachen Mitteln angreifbar seien. Die Webseite Ars Technica geht von über zwei Milliarden Webseiten aus, die für Attacken in Frage kämen.

Nach Angaben von Sicherheitsunternehmen sollen Angreifer im Internet auch schon gezielt nach Einfallstüren suchen, die Shellshock offen lässt. Und mindestens zwei Computer-Würmer seien bereits im Umlauf, welche diese Lücken auch tatsächlich zum Installieren von Schadsoftware ausnutzen – mit dem Ziel, infizierte Maschinen für orchestrierte Denial-of-Service-Angriffe (DDoS) zu missbrauchen.

Einfach, aber weitreichend

Shellshock macht sich einen Fehler im Kommandozeilenprogramm Bash zu Nutze, der es Angreifern erlaubt, auf betroffenen Maschinen bösartigen Code auszuführen. So können sie nicht nur DDoS-Angriffe starten, sondern auch Webseiten unter ihre Kontrolle bringen und zur Verbreitung von Schadsoftware missbrauchen. Oder gekaperte Server zu Spam-Schleudern umfunktionieren.

Bash ist ein wichtiger Bestandteil von Apples Betriebssystem OS X und von Linux. Es wird auf vielen Servern als Standard-Kommandozeilenprogramm verwendet. Die Zahl der verwundbaren Geräte ist deshalb ungleich grösser als beim Heartbleed-Bug. Der betraf bloss eine spezifische Version der Software OpenSSL, die auf Servern zum Einsatz kommt. Weil ein Shellshock-Angriff ausserdem mit relativ einfach Mitteln auszuführen ist, bewertet ihn die National Vulnerability Database der US-Behörden in Sachen Komplexität mit «Low», in Sachen Auswirkungen dagegen mit «High».

Problemfall «Connected Devices»

Für Serverbetreiber ist es allerdings mit einfachsten Mitteln möglich, ihre Maschinen gegen Angriffe zu schützen und Bash so zu konfigurieren, dass kein schädlicher Code ausgeführt werden kann. Als der Bug bekannt wurde, existierten für die wichtigsten Linux-Systeme auch schon Patches, um den Fehler zu beheben. Es ist davon auszugehen, dass grosse Server deshalb schon beim Bekanntwerden vor Shellshock geschützt waren. Allerdings sollen auch die ersten Patches nicht vollständig vor allfälligen Angriffe schützen.

Weil es ausserdem viele untergeordnete Systeme gibt, die nur selten mit Updates versorgt werden, geht Robert Graham davon aus, dass der Shellshock-Bug noch lange für Unsicherheit sorgen wird. Er weist auf die vielen «Connected Devices» hin, die ständig mit dem Internet verbunden sind, deren Software nach der ersten Installation aber häufig nicht mehr aktualisiert wird und so angreifbar bleibt.

Apple-Computer sind verwundbar

Im Gegensatz zum Heartbleed-Bug sind von Shellshock nicht nur Serverbetreiber betroffen, sondern auch Privatanwender, weil Bash Bestandteil des Apple-Betriebssystems OS X ist. Apple sagt, die meisten ihrer Kunden seien von der Sicherheitslücke nicht betroffen, weil Mac-Computer standardmässig gegen Shellshock-Angriffe geschützt seien. Nur wer auf seiner Maschine spezielle Unix-Dienste eingerichtet habe, müsse sich allenfalls Sorgen machen.

Apple präzisiert nicht, welche Unix-Dienste damit genau gemeint sind. Allerdings lässt sich mit einfachen Mitteln überprüfen, ob ein Rechner verwundbar ist. Wer im Mac-Terminal folgendes Script ausführt

«  test="() { echo Hello; }; echo verwundbar" bash -c "" »

und darauf die Meldung

«  verwundbar »

erhält, sollte seine Maschine schnellstmöglich mit einem Update gegen Shellshock-Angriffe schützen. Apple hat ein solches Update angekündigt, aber keine Angaben dazu gemacht, wann genau es verfügbar sein wird.

Update [30. September 2014]:

Apple hat ein Bash-Update für die OS-X-Betriebssysteme Mavericks, Lion und Mountain Lion veröffentlicht.