:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7b/a4/7ba4275545a8dd842d7b5bfcadbf633c/0115184197.jpeg "Moderne Remote Support-Tools mit erweiterten Sicherheitslösungen bieten eine starke Ressource für IT-Teams, die aktuellen Sicherheitsanforderungen mit begrenzter Manpower zu meistern. (Bild: Deemerwha studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/11/db/11db72379b5c9331464c8b43a5330d5c/0115183494.jpeg "„KI klug einsetzen heißt: nicht zu technikgläubig sein. Denn ein KI-Werkzeug allein kann keine bestehende Sicherheitslösung ersetzen.“ sagt Jacques Boschung, CEO von Kudelski Security. (Bild: sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/30/34/3034da6c1f49a32546346fabf995ba62/0115184592.jpeg "Open Source-Projekte waren für Unternehmen früher eher eine Notlösung, jetzt sind sie oft eine bewusste strategische Entscheidung. (Bild: cacaroot - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Details zur Bash-Sicherheitslücke Exploit-Szenarien für Shellshock
Die Shellshock getaufte Schwachstelle in der „Bourne Again Shell“ (Bash) ruft allerhand Sicherheitsexperten auf den Plan. Beim Fix, der in der vergangenen Woche herausgegeben worden war, ist Nacharbeit notwendig. Wolfang Kandek vom Sicherheitsspezialisten Qualys weiß, unter welchen Umständen gefährdete Systeme wirklich anfällig sind.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
Das vergangene Woche veröffentlichte Bash-Update umfasste leider nicht alle potenziellen Exploit-Vektoren. Diesem erweiterten Problem wurde die neue CVE-2014-7169 zugewiesen. In einem Github-Eintrag wurde derweil ein Exploit-Versuch dokumentiert, bei dem diese Schwachstelle zum Herunterladen von Malware ausgenutzt wird.
Die Bourne Again Shell ist der Standard-Kommandozeileninterpreter für Linux sowie zahlreiche andere Unix-Versionen und daher weithin im Einsatz. Für sich allein genommen ist Shellshock allerdings erst einmal nicht so gravierend. Schließlich handelt es sich um eine lokale Anfälligkeit – und Bash ist ein Kommandozeileninterpreter, dessen einziger Zweck darin besteht, Befehle auszuführen.
Wer nun meint, es sei alles nicht so tragisch, der irrt allerdings. Wir müssen uns ansehen, wie Bash verwendet wird. In der gewöhnlichen Form als Kommandozeileninterpreter sind die Angriffsvektoren zwar tatsächlich recht geringfügig. Jedoch wird Bash sehr oft zur Ausführung von Befehlen in einer vernetzten Konstellation verwendet. Dies eröffnet einen interessanten Angriffsvektor.
Shellshock-Angriffe in der Praxis
Man stelle sich einen Webserver vor, der eine IP-Adresse anpingen kann (mein Router zu Hause verfügt zum Beispiel über diese Funktion). Der Server wird dann höchstwahrscheinlich einfach das Executable „Ping“ mit dem Argument aufrufen, das angegeben wurde, wobei er vermutlich überprüft, ob das Argument korrekt als IP-Adresse formatiert ist.
Shellshock erlaubt es aber, beliebige Befehle auszuführen lassen, sofern ein Angreifer den Wert einer mitgegebenen Umgebungsvariablen manipulieren kann. Eine solche Manipulation ist nicht allzu schwierig. Zahlreiche Umgebungsvariablen lassen sich kontrollieren, etwa die Einstellungen für den Referrer oder den UserAgent. Szenarien, in denen ein CGI-BIN-Setup zur Ausführung von Befehlen auf dem Server verwendet wird, sind dementsprechend anfällig.
RedHat hat eine erweiterte Liste mit Konstellationen veröffentlicht, in denen Bash in einem Remote-Kontext verwendet wird. Daraus lässt sich ersehen, dass diese Sicherheitslücke das Potenzial zu einem großflächigen Problem hat, ähnlich wie Heartbleed im April. Einige der seinerzeit involvierten Sicherheitsforscher, darunter @ErrataRob, haben bereits Internet-weite Scans gestartet, um nach anfälligen Servern zu suchen:
- Apache Server, die mod_cgi oder mod_cgid aktiviert haben, sind betroffen, wenn die CGI-Skripte entweder in Bash programmiert wurden oder eigene Subshells öffnen. Solche Subshells werden in C implizit von system/popen aufgerufen, in Python von os.system/os.popen, in PHP (wenn es im CGI-Modus läuft) von system/exec und in Perl von open/system, wenn eine Shell verwendet wird (was vom Befehlsstring abhängt)
- ForceCommand wird in sshd-Konfigurationen verwendet, um entfernten Benutzern einschränkte Möglichkeiten zur Befehlsausführung zu geben. Die Sicherheitslücke kann ausgenutzt werden, um diese Einschränkungen zu umgehen und die Ausführung beliebiger Befehle zu ermöglichen. Manche Git- und Subversion-Implementierungen verwenden solche eingeschränkten Shells. Bei regulärer Verwendung ist OpenSSH dagegen nicht betroffen, weil die Benutzer bereits Shell-Zugriff haben.
- DHCP-Clients rufen Shell-Skripte zur Konfiguration des Systems mit Werten auf, die potenziell von einem bösartigen Server stammen können. Auf diese Weise könnten auf dem DHCP-Client-Rechner beliebige Befehle ausgeführt werden, in der Regel mit Root-Rechten.
- Verschiedene Daemons und SUID-/privilegierte Programme können Shell-Skripte aufrufen und dabei Umgebungsvariablen auslesen, deren Werte vom Benutzer festgelegt/manipuliert werden können, was die Ausführung beliebiger Befehle ermöglichen würde.
- Potenziell gefährdet ist auch jede andere Anwendung, die an eine Shell angehängt ist oder die mit Shell-Skripten arbeitet, die Bash als Interpreter nutzen. Shell-Skripte, die keine Variablen exportieren, sind für dieses Problem nicht anfällig, selbst wenn sie ungeprüfte Inhalte verarbeiten und in (nicht exportierten) Shell-Variablen und offenen Subshells speichern.
Achten Sie auf Bash-Patches Ihrer Anbieter und spielen Sie sie so schnell wie möglich ein. In einigen dieser Szenarien (CGI-BIN) kann eventuell eine andere Shell als schneller und leicht zu implementierender Workaround verwendet werden. Im Übrigen ist es nach momentanem Stand der Dinge nicht möglich, die Qualys-Scanner über die Bash-Sicherheitslücke auszunutzen.
* Wolfgang Kandek ist Chief Technical Officer bei Qualys.
(ID:42977732)
:quality(80)/p7i.vogel.de/wcms/37/48/3748c9e0693d76edea5c70f969410905/0113877146.jpeg "Die Open Source Pentest-Tools Legion, sqlmap, Zed Attack Proxy, OpenSCAP, Karkinos und Scapy helfen Admins bei der Schwachstellensuche. (Bild: Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")