Nytt Shellshock-angrep avslørt

Shellshock-sårbarheten utnyttes nå til å snike inn en ondsinnet kode på e-postservere. Se fremgangsmåten.

Publisert Sist oppdatert

I slutten av september ble det oppdaget en sårbarhet i Bash-shell-verktøyet som finnes i både Linux- og Unix-systemer, Apples Mac OS X og Linux-baserte Android.

Selv om det fra starten ble meldt om at kriminelle kunne foreta fjernangrep i et hav av systemer via Shellshock, ble det samtidig understreket at man ennå ikke hadde sett reelle forsøk på dette.

Nå har sikkerhetsfirmaet Trend Micro tatt en gjennomgang av det seneste Shellshock-angrepet som går etter mailprotokollen SMTP.

Hvis koden utføres med suksess på en sårbar SMTP-server vil en IRC-bot kjent som «JST Perl IrcBot» bli nedlastet og utført. Den vil deretter slette seg selv, antakelig for å kunne gå under radaren og forbli uoppdaget, skriver Trend Micro.

Flere eksperter har sammenliknet Shellshock med den meget kritiske Heartbleed-sårbarheten, og noen mener at risikoen for å bli rammet av Shellshock er et langt mer alvorlig problem.

Slik angriper de via mail

Trend Micros beskrivelse av hvordan de kriminelle utnytter SMTP-sårbarheten gir et innblikk i hvordan Shellshock reelt kan utnyttes:

  1. Angriperen lager en e-post med onsinnet Shellshock-kode innsatt i feltene "emne", "fra", "til" og "cc".
  2. Mailen sendes så til en hvilken som helst sårbar SMTP-server.
  3. Når en sårbar SMTP-mail-server mottar den onsinnede mailen vil den innsatte Shellshock-koden bli avviklet, og IRC bot-en nedlastes og kjøres. Heretter opprettes det forbindelse til en server.
  4. Nå kan de kriminelle utføre forskjellige handlinger med mail-serveren, eksempelsvis å sende ut spam-mails.

- Dette SMTP-angrepet fremhever enda en plattform til å angripe og utnytte Shellschock-sårbarheten, lyder det fra Trend Micro, som samtidig opplyser om at denne type angrep inntil videre er oppdaget i blant annet Tyskland, Taiwan, USA og Canada.

Går etter bestemte servere og systemer

Samtidig skriver Informationweek at sikkerhetsfirmaet Sert har frigitt informasjon som viser at de kriminelle har inkludert Shellshock på listen over sårbarheter man skal forsøke å utnytte – og at de første angrepene fant sted 24 timer etter annonseringen av sårbarheten.

- Denne sårbarheten har akselerert den tidslinjen som typisk kan observeres når en ny sårbarhet oppdages, skriver Informationweek.

Bash har eksistert siden 1989 og er et svært utbredt shell i mange GNU/Linux- og Unix-baserte systemer.

Selv om Shellshock altså umiddelbart er en trussel mot mange forskjellige typer av systemer, vurderes det flere steder at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gjøre størst skade ved å utnytte sårbarheten.

Saken er hentet fra Computerworld.dk