25 september, 2014

Shellshock - en bugg som kan få omfattande konsekvenser

Bara några månader efter att Heartbleed-buggen skakade internet, har en ny allvarlig bugg upptäckts. Det är i kommandotolken bash (även kallad Bourne Again Shell för Linux och Unix) som en säkerhetsbrist har hittats, som nu äventyrar såväl servrar som andra enheter.

Bara några månader efter att Heartbleed-buggen skakade internet, har en ny allvarlig bugg upptäckts. Det är i kommandotolken bash (även kallad Bourne Again Shell för Linux och Unix) som en säkerhetsbrist har hittats, som nu äventyrar såväl servrar som andra enheter.

Den nya buggen, som redan har fått namnet Shellshock, kan leda till omfattande problem för allt från stora företag till mindre webbhotell och internetuppkopplade enheter. Buggen innebär att skadlig kod kan köras från Environment-variabler som bash läser in. Bash shell används som underliggande programvara i många Linux-liknande operativsystem och flera vanliga exponerade tjänster anropar bash på ett sådant sätt som kan leda till att angripare kan köra kod på dessa system.

Shellshock är så omfattande att det precis som i fallet med Heartbleed kommer att ta lång tid att täta allt det som påverkas av säkerhetsbristen. Inte nog med att buggen är mycket allvarlig och kan leda till stora konsekvenser så är den tämligen enkel för en angripare att utnyttja.

Det otäcka med denna bugg är att bash anropas av många olika sorters applikationer, varför det kan vara svårt att upptäcka alla potentiella sårbarheter. I vissa fall kan den också vara möjlig att utnyttjas över Internet.

Det är dock på sin plats att klargöra att det inte ”räcker” med att ett system kör bash för att det ska vara praktiskt sårbart för en angripare.

- För att en angripare ska kunna utnyttja buggen över internet krävs att systemet kör någon mjukvara som både tillåter att man sätter environment-variabler och att bash sedan anropas. Sådana installationer existerar, t.ex. Apache tillsammans med CGI i vissa konfigurationer, eller SSH-konfigurationer som normalt ska vara begränsade till enskilda kommandon, säger Björn Johansson säkerhetskonsult på Sentor.

Buggen kan även potentiellt användas för att utöka sina privilegier på ett system, då vissa lokala script anropas med högre rättigheter (t.ex. dhclient eller NetworkManager.) Buggen drabbar i huvudsak inte slutanvändarna, istället är det företagens system som i större utsträckning kör programvara som kan vara sårbar.

- Shellshock är mycket allvarlig, och har potential att finnas tillgänglig för angripare en längre tid. Dock har, i likhet med Heartbleed-buggen, de som är ansvariga för att leverera säkerhetsfixar jobbat tillsammans för att koordinera säkerhetsuppdateringar. För den som känner oro kring vilken påverkan Shellshock kan få är rekommendationen att ta kontakt med expert på området för rådgivning, avslutar Björn Johansson.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.