Trend Micro hat weitere Angriffe auf die Bash-Lücke in Linux mit dem Namen Shellshock registriert. Ziel der Attacken sind SMTP-Server. Vor allem Deutschland, Kanada, Taiwan und die USA sind davon betroffen.
Aus einem Blog des Sicherheitsunternehmens geht hervor, dass Angreifer den Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail einfügen. Der eingebettete Exploit wird nach Erreichen eines anfälligen Servers, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, ausgeführt. Ein Server lädt anschließend einen IRC-Bot und startet diesen. Der Bot richtet eine Verbindung zu einem IRC-Server ein. Angreifer können auf diese Weise unterschiedliche Aktionen auf dem SMTP-Server ausführen. Somit können sie einen kompromittierten Server unter anderem für den Versand von Spam-Nachrichten nutzen.
Trend Micro stuft Server als möglicherweise anfällig ein, die den qmail Message Transfer Agent verwenden. Unter Umständen könne er Bash-Befehle ausführen. Das träfe ebenfalls auf exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail zu. Für Shellshock sei Postfix zwar nicht anfällig, allerdings könne procmail Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.
Für die Programmierung des verwendeten IRC-Bots nutzten die Kriminellen Perl. Über die Ports 666, 323 und 9999 verbindet er sich mit einem Befehlsserver. Wie Trend Micro weiter erklärt, könne er nicht nur E-Mails versenden und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.
Systeme in Deutschland sind laut Trend Micro von 21 Prozent der analysierten Shellshock-Angriffe betroffen. Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada weisen einen Anteil von 16 respektive 10 Prozent auf.
IT-Administratoren sollten die von den Angreifern genutzten IP-Adressen und Domains blockieren, rät Trend Micro. Bislang seien die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe gering.
Seit Ende September ist die Sicherheitslücke in der Bourne-Again Shell (Bash) bekannt. Sie wird unter Linux, Unix und OS X verwendet. Angreifer können die als kritisch eingestufte Sicherheitslücke nutzen, um unter Umständen Shell-Befehle aus der Ferne und ohne Authentifizierung auf einem Server auszuführen. Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.
[mit Material von Stefan Beiersmann, ZDNet.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…