[datensicherheit.de, 21.11.2024] ESET-Forscher haben nach eigenen Angaben zwei neue sogenannte Backdoors in „Linux“ entdeckt, „die wahrscheinlich von der china-nahen Hacker-Gruppe ,Gelsemium’ stammen“. Die Entdeckung sei nach der Analyse von Archiven erfolgt, welche im Jahr 2023 auf Googles Online-Dienst „Virus Total“ hochgeladen worden seien. „Die Dateien wurden von Servern in Taiwan, den Philippinen und Singapur eingespeist, was auf Vorfälle in diesen Regionen hindeutet.“ Die Schadprogramme mit den Namen „WolfsBane“ und „FireWood“ dienten der Cyber-Spionage, indem sie sensible Daten wie Systeminformationen, Anmeldedaten und Dateien unbemerkt sammelten.

Abbildung: ESET

„Linux“ im Visier: Ausführungsprozess von „WolfsBane“ lt. ESET-Erkentnnissen

Cyber-Kriminelle erwägen neue Angriffsmöglichkeiten und attackieren „Linux“

Während „Wolfsbane“ sich zweifellos „Gelsemium“ zuordnen lasse, könne ESET „FireWood“ allerdings nicht gesichert dieser Gruppe zuschreiben, da die Beweise für eine direkte Verbindung nicht eindeutig seien. „Professionelle Hacker fokussieren sich stärker auf ,Linux’-Systeme – das ist eine besorgniserregende Entwicklung“, betont ESET-Forscher Viktor Šperka, welcher diese Analysen durchgeführt habe.

Šperka führt hierzu aus: „Der Grund dafür sind vor allem verbesserte Sicherheitslösungen für ,Windows’-Systeme und die Deaktivierung von VBA-Makros. Dies führt dazu, dass Cyber-Kriminelle neue Angriffsmöglichkeiten abwägen. ,Linux’ rückt dabei immer stärker in den Fokus.“

„Linux“ gerät verstärkt ins Fadenkreuz bei Cyber-Angriffen

Die Analysen enthüllten demnach die ausgefeilte Technik der beiden Backdoors: „WolfsBane“ sei eine „Linux“-Version der bekannten „Windows“-Schadsoftware „Gelsevirine“ und nutze Rootkits, um ihre Aktivitäten zu verschleiern. Ein sogenanntes Rootkit sei eine Schadsoftware, welche es Cyber-Kriminellen ermögliche, sich unbemerkt Zugang zu Computern zu verschaffen und deren Daten zu infiltrieren.

„FireWood“ hingegen zeige Verbindungen zu einer älteren, aber ständig weiterentwickelten Backdoor namens „Project Wood“, welche ebenfalls von „Gelsemium“ genutzt worden sei. „Die Forscher konnten die Spuren der Schadsoftware bis ins Jahr 2005 zurückverfolgen.“ Beide Backdoors seien so konzipiert worden, dass sie unbemerkt blieben und eine langfristige Kontrolle über kompromittierte Systeme ermöglichten.

Entdeckung zeigt, wie wichtig umfassender Schutz auch für „Linux“-Systeme ist

„ESET entdeckte die bösartige Software in Archiven, die von Taiwan, den Philippinen und Singapur auf ,Virus Total’ hochgeladen wurden.“ Dies deute darauf hin, dass die Proben im Rahmen von Vorfällen auf einem kompromittierten Server entdeckt worden sei. „Die betroffenen Systeme waren vorwiegend ,Linux’-Server, die Hacker vermutlich durch Sicherheitslücken in Webanwendungen erfolgreich angreifen konnten.“ Die Archive hätten auch mehrere Werkzeuge enthalten, die einem Angreifer die Fernsteuerung kompromittierter Server ermöglichten.

Die Entdeckung dieser neuen Werkzeuge zeige, „wie wichtig ein umfassender Schutz für ,Linux’-Systeme geworden ist“. Unternehmen und Behörden sollten ihre Sicherheitsmaßnahmen überdenken und verstärkt auf Sicherheitsupdates, Intrusion-Detection-Systeme und regelmäßige Sicherheitsaudits setzen.

Weitere Informationen zum Thema:

welivesecurity by eset, Viktor Šperka, 21.11.2024
ESET Research / Unveiling WolfsBane: Gelsemium’s Linux counterpart to Gelsevirine / ESET researchers analyzed previously unknown Linux backdoors that are connected to known Windows malware used by the China-aligned Gelsemium group, and to Project Wood

[datensicherheit.de, 10.10.2024] Auch die Check Point Software Technologies Ltd. warnt in einer aktuellen Stellungnahme vor „schwerwiegenden Sicherheitslücken im ,Common Unix Printing System’ (CUPS)“. Diese vom Sicherheitsexperten Simone Margaritelli (evilSocket) aufgedeckten Schwachstellen betreffen demnach „Linux“-Umgebungen und können zur Ausführung von schädlichem Code führen. Diese vier Schwachstellen seien öffentlich bekanntgemacht worden, nachdem das Entwickler-Team unzureichend auf die verantwortungsbewusste Offenlegung reagiert habe.

Abbildung: Check Point Software Technologies Ltd.

Übersicht der Schwachstellen mit CVE-Code

Hunderttausende von Geräten potenziell durch CUPS-Schwachstellen gefährdet

Die vier entdeckten Sicherheitslücken, darunter „CVE-2024-47177“ mit einem CVSS-Score von 9.0 („kritisch“), beträfen eine Vielzahl von „Linux“-Distributionen sowie Systeme wie „BSD“, „Oracle Solaris“ und „ChromeOS“.

„Ein Scan des Internets zeigte, dass Hunderttausende von Geräten potenziell gefährdet sind. Obwohl ,cloud’-basierte Workloads oft nicht betroffen sind, da Port 631 in der Regel geschlossen ist, sollten betroffene Systeme dringend aktualisiert werden.“

Maßnahmen und Schutzvorkehrungen

Um die Risiken der CUPS-Schwachstellen zu minimieren, empfiehlt Check Point nach eigenen Angaben folgende Maßnahmen:

Systeme aktualisieren und Patches installieren!
Es sollten Versionen „cups-browsed“ > 2.0.1, „libcupsfilters“ > 2.1b1 und „libppd“ > 2.1b1 eingesetzt werden.

Dienste deaktivieren!
Falls nicht benötigt, sollte der „cups“-browsed-Dienst vollständig deaktiviert werden.

Port 631 blockieren!
Wenn ein Update nicht sofort möglich ist, sollte jeglicher Verkehr zu Port 631 blockiert werden, um Angriffe zu verhindern.

Margaritelli weise darauf hin, dass weitere Schwachstellen bereits verantwortungsvoll offengelegt worden seien und eine erhöhte Wachsamkeit notwendig sei. Zudem gebe es bereits „PoC-Exploitcodes“ (Proof-of-Concept) für die aktuellen Sicherheitslücken. Check-Point-Kunden seien durch „CloudGuard“ geschützt (insbesondere gegen „Remote Code Execution“ [RCE], welche durch die Sicherheitslücke „CVE-2024-47176“ ausgelöst werden könne).

Weitere Informationen zum Thema:

CHECK POINT, 30.09.2024
How to Safeguard Your Systems from Linux CUPS Vulnerabilities

datensicherheit.de, 30.09.2024
Satnam Narang kommentiert Schwachstellen im CUPS-Drucksystem / Es gibt laut Satnam Narang noch eine breite Palette von Software – sei es „Open Source“ oder „Closed Source“ –, welche noch entdeckt und offengelegt werden müssten

datensicherheit.de, 27.09.2024
Über 76.000 Geräte von Kritischer Remote-Code-Schwachstelle in CUPS betroffen / „CUPS“ (Common Unix Printing System) ist das Standard-Drucksystem für viele „Unix“-ähnliche Betriebssysteme wie „GNU/Linux“

[datensicherheit.de, 27.09.2024] „Bei der Ausführung von Remote-Code in ,Linux CUPS’ wurden neue Probleme entdeckt“, berichtet Saeed Abbasi, Produktmanager der „Threat Research Unit“ bei Qualys, in einer aktuellen Meldung. Laut einer Untersuchung der „Qualys Threat Research Unit“ sollen mehr als 76.000 Geräte betroffen sein, „von denen mehr als 42.000 öffentlich zugängliche Verbindungen akzeptieren“.

Foto: Qualys

Saeed Abbasi: Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen…

Schwachstelle „CVE-2024-47176“ in „cups-browsed“-Versionen in verschiedenen „UNIX“-Systemen weit verbreitet

Abbasi erläutert: „,CUPS’ (Common Unix Printing System) ist das Standard-Drucksystem für viele ,Unix’-ähnliche Betriebssysteme wie ,GNU/Linux’-Distributionen und ,macOS’. Die Schwachstelle ,CVE-2024-47176‘ in ,cups-browsed’-Versionen ist in verschiedenen ,UNIX’-Systemen weit verbreitet, darunter ,GNU/Linux’-Distributionen, ausgewählte ,BSDs’, möglicherweise ,Oracle Solaris’ und ,Google Chromium/ChromeOS’.“ In einigen Fällen sei sie standardmäßig aktiviert, in anderen nicht.

Diese Schwachstellen ermöglichten es einem nicht authentifizierten Angreifer, die IPP-URLs vorhandener Drucker stillschweigend durch bösartige URLs zu ersetzen. Dies könne dazu führen, „dass auf dem betroffenen Computer beliebige Befehle ausgeführt werden, wenn ein Druckauftrag initiiert wird“. Ein Angreifer könne ein „speziell gestaltetes UDP-Paket“ über das öffentliche Internet an „Port 631“ senden und so die Schwachstellen ohne jegliche Authentifizierung ausnutzen.

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten!

Die Verbreitung von „GNU/Linux“-Systemen als Unternehmensserver, „Cloud“-Infrastrukturen und Kritischen Anwendungen stelle durch die Sicherheitslücke eine große Angriffsfläche dar und betreffe potenziell eine große Anzahl von Servern, Desktops und eingebetteten Geräten weltweit. Angreifer benötigten keine gültigen Anmeldeinformationen, um diese Sicherheitslücke auszunutzen. Abbasi warnt: „Die Sicherheitslücke ermöglicht es Angreifern, beliebigen Code auszuführen und möglicherweise die vollständige Kontrolle über betroffene Systeme zu erlangen. Die Sicherheitslücke hat einen CVSS-Wert von 9,9 und wird damit als ,kritisch’ eingestuft.“

Unternehmen sollten das Risiko der Kompromittierung von „CUPS“-Systemen bewerten. Es gelte den Netzwerkzugriff einzuschränken, nicht unbedingt erforderliche Dienste zu deaktivieren und strenge Zugriffskontrollen zu implementieren. „Linux“-Administratoren müssten sich auf eine schnelle Fehlerbehebung vorbereiten, sobald ein Patch verfügbar ist – „und die Patches natürlich vor dem Einspielen gründlich testen, um Ausfälle zu vermeiden“.

Weitere Informationen zum Thema:

Qualys Community, Saeed Abbasi, 26.09.2024
Critical Unauthenticated RCE Flaws in CUPS Printing Systems

[datensicherheit.de, 15.05.2024] Der IT-Sicherheitshersteller ESET hat nach eigenen Angaben am 15. Mai 2024 einen neuen Forschungsbericht veröffentlicht, welcher demnach das schädliche Treiben der Hacker-Gruppe „Ebury“ enthüllt: Diese soll mehr als 400.000 ,Linux’-, ,FreeBSD’- und ,OpenBSD’-Server im Laufe der vergangenen 15 Jahre mit ihrer Malware infiziert haben. „Allein in den vergangenen 18 Monaten kamen 100.000 neue Betroffene hinzu.“ In vielen Fällen hätten die „Ebury“-Betreiber vollen Zugriff auf große Server von Internetprovidern und bekannten Hosting-Anbietern erlangen können. Diese Cyber-Kriminellen betrieben somit eine der fortschrittlichsten serverseitigen Malware-Kampagnen, welche immer noch im Gange sei und sich weiter ausbreite.

Ebury vielseitig schädlich – Verbreitung von Spam, Umleitungen von Web-Traffic und Diebstahl von Anmeldedaten

„Zu den Aktivitäten der ,Ebury’-Gruppe und ihres Botnets gehörten im Laufe der Jahre die Verbreitung von Spam, Umleitungen von Web-Traffic und der Diebstahl von Anmeldedaten.“ In den letzten Jahren seien diese Hacker darüber hinaus auch in Kreditkarten- und Krypto-Währungsdiebstähle eingestiegen.

Seit mindestens 2009 diene „Ebury“ als „OpenSSH“-Hintertür und zum Diebstahl von Anmeldedaten. Sie werde verwendet, um zusätzliche Malware zu installieren, um das Botnet zu monetarisieren (z.B. Module für die Umleitung des Web-Traffics), den Datenverkehr für Spam zu projizieren, Adversary-in-the-Middle-Angriffe (AitM) durchzuführen und unterstützende bösartige Infrastruktur zu hosten. Bei AitM-Angriffen habe ESET zwischen Februar 2022 und Mai 2023 über 200 Ziele in mehr als 75 Netzwerken in 34 verschiedenen Ländern identifiziert.

Ebury-Betreiber stahlen Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails

Die Betreiber hätten das „Ebury“-Botnet verwendet, um Krypto-Währungs-Wallets, Anmeldedaten und Kreditkartendetails zu stehlen. ESET habe neue Malware-Familien aufgedeckt, welche von dieser Bande zu finanziellen Zwecken entwickelt und eingesetzt worden seien – darunter „Apache“-Module und ein „Kernel“-Modul zur Umleitung des Webverkehrs. Die „Ebury“-Gruppe nutze auch Zero-Day-Schwachstellen in der Administratoren-Software aus, um Server massenhaft zu kompromittieren.

„Nachdem ein System kompromittiert wurde, exfiltriert die Malware eine Reihe von Daten. Die dabei erbeuteten Kennwörter und Schlüssel werden wiederverwendet, um sich bei verwandten Systemen anzumelden.“ Jede neue Hauptversion von „Ebury“ bringe einige wichtige Änderungen sowie neue Funktionen und Verschleierungstechniken mit sich.

Ebury-Kriminelle in der Lage, Tausende von Servern auf einmal zu kompromittieren

„Wir haben Fälle dokumentiert, in denen die Infrastruktur von Hosting-Anbietern durch ,Ebury’ kompromittiert wurde. Hierbei wurde ,Ebury’ auf Servern eingesetzt, die von diesen Anbietern vermietet wurden, ohne dass die Mieter gewarnt wurden. Dies führte dazu, dass die Kriminellen in der Lage waren, Tausende von Servern auf einmal zu kompromittieren“, berichtet ESET-Forscher Marc-Etienne M. Léveillé, welcher „Ebury“ mehr als ein Jahrzehnt lang untersucht habe.

Diese Hacker-Gruppe kenne keine geographischen Grenzen – es gebe in fast allen Ländern der Welt mit „Ebury“ kompromittierte Server. „Jedes Mal, wenn ein Hosting-Anbieter infiziert wurde, führte dies zu einer großen Anzahl weiterer betroffener Server in denselben Rechenzentren.“ Gleichzeitig schienen keine Branchen gezielter angegriffen zu werden als andere.

Namhafte Ebury-Opfer in aller Welt

Zu den Opfern gehörten Universitäten, kleine und große Unternehmen, Internetprovider, Krypto-Händler, Tor-Exit-Nodes, Shared-Hosting-Anbieter und Dedicated-Server-Provider. Ende 2019 sei die Infrastruktur eines großen und populären US-basierten Domain-Registrars und Web-Hosting-Anbieters kompromittiert worden.

Insgesamt seien etwa 2.500 physische und 60.000 virtuelle Server von den Angreifern kompromittiert worden. Ein sehr großer Teil der Server – wenn nicht alle – werde zwischen mehreren Nutzern für die Websites von mehr als 1,5 Millionen Konten gemeinsam genutzt. Bei einem anderen Vorfall seien insgesamt 70.000 Server dieses Hosting-Anbieters 2023 durch „Ebury“ kompromittiert worden. Auch „kernel.org“, der Host für den Quellcode des „Linux“-Kernels, sei unter den Opfern gewesen.

Ebury ernsthafte Bedrohung und Herausforderung für Linux-Community

„,Ebury’ stellt eine ernsthafte Bedrohung und eine Herausforderung für die ,Linux’-Community dar. Es gibt keine einfache Lösung, die ,Ebury’ unwirksam machen würde.“ Aber eine Handvoll Abhilfemaßnahmen könnten laut Léveillé angewandt werden, um die Verbreitung und die Auswirkungen zu minimieren.

Man müsse sich darüber im Klaren sein, dass es nicht nur sich weniger um die Sicherheit kümmernde Organisationen oder Einzelpersonen treffe – viele technisch versierte Personen und große Organisationen stünden auf der Liste der Opfer. Vor zehn Jahren habe ESET ein „Whitepaper“ über die Operation „Windigo“ veröffentlicht, bei der mehrere Malware-Familien in Kombination eingesetzt worden seien, wobei die „Ebury“-Malware-Familie den Kern gebildet habe.

ESET-Forscher erlangten erhebliche Einblicke in die Operationen der Ebury-Bedrohungsakteure

Ende 2021 habe sich die niederländische „National High Tech Crime Unit“ (NHTCU), ein Teil der niederländischen Polizei, an ESET wegen Servern in den Niederlanden gewandt, welche im Verdacht gestanden hätten, mit „Ebury“-Malware infiziert zu sein. „Dieser erwies sich als begründet, und mit der Unterstützung der NHTCU konnten die ESET-Forscher erhebliche Einblicke in die Operationen der ,Ebury’-Bedrohungsakteure gewinnen.“

Nach der Veröffentlichung des „Windigo-Papers“ Anfang 2014 sei einer der Täter 2015 an der finnisch-russischen Grenze festgenommen und später an die Vereinigten Staaten von Amerika ausgeliefert worden. Obwohl er zunächst seine Unschuld beteuert habe, seien von ihm schließlich 2017 die Vorwürfe eingeräumt worden – „einige Wochen bevor sein Prozess vor dem US-Bezirksgericht in Minneapolis beginnen und ESET-Forscher als Zeugen aussagen sollten“.

Weitere Informationen zum Thema:

eseT, 2024
APT Activity Report / IRAN-ALIGNED CYBERATTACKS: RISE IN DISRUPTIVE OPERATIONS / October 2023 – March 2024

datensicherheit.de, 13.02.2014
Ebury-Rootkit: Zahlreiche deutsche Server infiziert / BSI gibt Informationen für Betreiber und Provider

[datensicherheit.de, 27.07.2021] Die Crypto-Mining-Malware „LemonDuck“ werde erneut verbreitet und bedrohe nun auch „Linux“-Systeme, meldet die Check Point® Software Technologies Ltd. – nach eigenen Angaben beobachtet diese aktuell die Aktivitäten quasi eines alten Bekannten. „LemonDuck“ sei mittlerweile nicht nur mehr nur eine Bedrohung für „Windows“-Geräte, sondern sei nach Updates nun auch dazu in der Lage, „Linux“-Systeme zu infizieren.

Christine Schönig, Bild: Check Point Software Technologies GmbH

Christine Schönig: Systeme mit veralteter bzw. ungewarteter Software, einschließlich Betriebssystemen, außer Betrieb nehmen!

LemonDuck nutzt ähnliche Methoden wie früher hinsichtlich Verwaltung und Hosting der Infrastruktur des Bot-Netzes

Ziel dieser Schadsoftware sei die Integration der infizierten Rechner in ein Bot-Netz und die Verwendung desselbigen und den damit verbundenen Ressourcen für Crypto-Mining. Obwohl sich die aktuelle Variante der Malware von den bisherigen Iterationen unterscheide, nutze sie nach wie vor ähnliche Methoden wie früher, „was die Verwaltung und das Hosting der Infrastruktur des Bot-Netzes angeht, wie Microsoft berichtet“.

LemonDuck-Rückkehr erinnert daran, dass es so etwas wie eine für immer verschwindende Schwachstelle nicht gibt

Christine Schönig, „Regional Director Security Engineering CER“, „Office of the CTO“ bei Check Point Software Technologies GmbH, kommentier: „Die Rückkehr der ,LemonDuck‘-Malware erinnert uns daran, dass es so etwas wie eine Schwachstelle, die für immer verschwindet, nicht gibt. Tatsächlich kommen sie oft weiterentwickelt zurück, mit der Fähigkeit, mehr Schaden anzurichten.“

Zentraler Tipp gegen LemonDuck-bedrohung: Betriebssysteme rechtzeitig patchen!

Signaturbasierte Sicherheitstechnologien wie Antiviren- und Intrusion-Prevention-Systeme (IPS) könnten nur so viele Signaturen unterstützen, „wie es die aktuelle Bedrohungslandschaft zulässt“. Es sei wichtig, so Schönig als Empfehlung, „dass Sie sicherstellen, dass Ihre Betriebssysteme rechtzeitig gepatcht werden. Stellen Sie außerdem immer sicher, dass Sie Systeme mit veralteter / ungewarteter Software, einschließlich Betriebssystemen, außer Betrieb nehmen“.

Weitere Informationen zum Thema:

Microsoft, Microsoft 365 Defender Threat Intelligence Team, 22.07.2021
When coin miners evolve, Part 1: Exposing LemonDuck and LemonCat, modern mining malware infrastructure

[datensicherheit.de, 23.03.2017] Sicherheitsforscher Alexander Popov habe aktuell eine Schwachstelle im „Linux“-Kernel dokumentiert, die bereits seit sieben Jahren in diesem Betriebssystemkern existiere. Wird diese Lücke erfolgreich ausgenutzt, könnten sich lokale Angreifer höhere Rechte an einem betroffenen System verschaffen. Zudem sei es ihnen möglich, den Kernel und damit den jeweiligen Computer zu blockieren.

Nicht ausreichend: Kontrolle des Datenverkehrs am Netzwerkrand

„Es kommt nicht alle Tage vor, dass eine bereits seit sieben Jahren existierende Sicherheitslücke erst jetzt aufgedeckt wird. Daher ist es sinnvoll, an diesem Beispiel aufzuzeigen, warum Anwender, die sich bei der Absicherung lediglich auf Firewalls, Antivirenlösungen und traditionelle ,Intrusion Protection Systeme‘ verlassen, deutlich zu kurz springen“, sagt Oliver Keizers, „Regional Director DACH“ von Fidelis Cybersecurity.
Dieser konkrete Fall mache klar, dass es eben nicht ausreiche, lediglich den Datenverkehr am Netzwerkrand zu überwachen und zu kontrollieren, den internen Netzwerkverkehr aber außer Acht zu lassen. Denn versierte Angreifer, die in der Lage seien, in einem verwundbaren System einen Brückenkopf zu bilden, könnten diese Präsenz dann nutzen, um sich unentdeckt im internen Netz auszubreiten.

Im Netz verdächtige Aktivitäten erfassen und analysieren!

Die Wahrscheinlichkeit sei nicht gering, dass versierte Cyber-Kriminelle in den letzten sieben Jahren die erst jetzt dokumentierte Schwachstelle bereits entdeckt hätten. In diesem Fall könne es zu einer ersten Kompromittierung gekommen sein, die quasi kaum zu verhindern gewesen wäre.
Von entsprechend großer Bedeutung sei es, im Netz selbst verdächtige Aktivitäten, die von Angreifern stammen könnten, zu erfassen und zu analysieren. Denn nur dann lasse sich einem Datenabfluss zum frühestmöglichen Zeitpunkt ein Riegel vorschieben, um Folgeschäden zu vermeiden.

Foto: FINNPARTNERS

Oliver Keizers: Noch große Zahl nicht gepatchter Systeme mit angreifbarem „Linux“-Kernel

In Betriebssystemkernen definitiv noch weitere, bislang nicht bekannte Lücken

Vergleichbar sei die Situation mit einem Einbruch in ein Gebäude. „Hat der Dieb eine ungesicherte Tür gefunden, die äußeren Sicherheitssysteme umgangen und kann sich nun im Haus frei bewegen, ist der größtmögliche Schaden fast schon gewährleistet. Nur, wenn auch in Räumlichkeiten weitere Systeme aktiv sind, die ein unerlaubtes Eindringen erkennen und entsprechende Maßnahmen initiieren, lassen sich die negativen Folgen des Einbruchs minimieren.“
Auch wenn mittlerweile ein Patch vorhanden sei, könne man davon ausgehen, dass noch eine große Zahl nicht gepatchter Systeme mit angreifbarem „Linux“-Kernel weltweit ihre Dienste verrichteten. Zudem lauerten in den Betriebssystemkernen – einerlei, ob es sich um Systeme unter „Linux“, „Windows“, „Solaris“ oder einem anderen OS handelt – definitiv noch weitere, bislang noch nicht allgemein bekanntgewordene Lücken. „Der Einbrecher ist also vielleicht schon drin“, warnt Keizers.

Weitere Informationen zum Thema:

Openwall, 07.03.2017
Linux kernel: CVE-2017-2636: local privilege escalation flaw in n_hdlc

datensicherheit.de, 28.01.2015
Qualys warnt vor Schwachstelle „GHOST“ in Linux-Systemen

datensicherheit.de, 24.05.2013
LinuxTag 2013: Kompetenznetzwerk, Spiele-Entwickler und verteiltes Rechnen

[datensicherheit.de, 28.01.2015] Qualys, Inc., Anbieter für cloudbasierte Sicherheits- und Compliance-Lösungen, gibt bekannt, dass seine Sicherheitsforscher eine kritische Sicherheitslücke in der GNU-C-Bibliothek (glibc) unter Linux entdeckt haben. Die Lücke versetzt Angreifer in die Lage, aus der Ferne ein gesamtes System zu übernehmen, ohne sich zuvor Anmeldeinformationen für das System verschafft zu haben. Qualys hat in enger, koordinierter Zusammenarbeit mit den Anbietern von Linux-Distributionen einen Patch für alle betroffenen Distributionen entwickelt, der ab sofort bei den jeweiligen Distributoren verfügbar ist.

Die Sicherheitslücke trägt den Namen GHOST (CVE-2015-0235), da sie mithilfe der Funktion gethostbyname ausgelöst werden kann. Sie betrifft zahlreiche Linux-basierende Systeme ab der Version glibc-2.2, die am 10. November 2000 herausgegeben wurde. Sicherheitsforscher von Qualys haben zudem eine Reihe von Faktoren ermittelt, die die Auswirkungen dieses Bugs entschärfen können. Dazu zählt ein Fix, der am 21. Mai 2013 zwischen der Veröffentlichung von glibc-2.17 und glibc-2.18 bereitgestellt wurde. Dieser Fix wurde jedoch nicht als Sicherheitswarnung klassifiziert, weshalb eine Reihe der stabilsten, langfristig unterstützten Distributionen, darunter Debian 7 (wheezy), Red Hat Enterprise Linux 6 & 7, CentOS 6 & 7 und Ubuntu 12.04, weiter anfällig blieben.

Kunden von Qualys können GHOST finden, indem sie mit der Cloud-Lösung Qualys Vulnerability Management (VM) beim nächsten Scanzyklus auf die QID 123191 scannen. Dann erhalten sie Berichte mit detaillierten Informationen über ihre unternehmensweite Anfälligkeit. Auf diese Weise können sie sich einen Überblick über die Auswirkungen auf ihr Unternehmen verschaffen und die Beseitigung dieser gravierenden Schwachstelle effizient verfolgen.

„GHOST ist eine Sicherheitslücke, die Remotecodeausführung erlaubt. Dies macht es für einen Angreifer äußerst einfach, einen Rechner auszunutzen. Zum Beispiel könnte ein Angreifer eine einfache E-Mail auf einem Linux-basierten System senden und automatisch vollständigen Zugriff auf diesen Rechner erhalten“, erklärt Wolfgang Kandek, Chief Technical Officer bei Qualys, Inc. „Angesichts der schieren Zahl von Systemen, die auf glibc basieren, betrachten wir diese Schwachstelle als gravierendes Sicherheitsleck, das sofort geschlossen werden sollte. Um das Risiko zu entschärfen, sollten die Anwender am besten einen Patch ihres Linux-Anbieters installieren.“

Weitere Informatione zum Thema:

Qualys Blog
The GHOST Vulnerability

datensicherheit.de, 27.02.2014
Qualys stellt kostenloses Tool für die Top 4 der kritischen Sicherheitskontrollen zur Verfügung

[datensicherheit.de, 26.09.2014] Lucas Zaichkowsky, Enterprise Defence Architect bei AccessData, kommentiert die Schwachstelle wie folgt:

„Die amerikanische Regierung warnt vor einer neuen Sicherheitslücke in Linux- und Apple Mac-Systemen wie OS X. Die ‚Shellshock‘ getaufte Schwachstelle avanciert zu einer ernsten Bedrohung; Experten prognostizieren eine größere Gefahr als bei Heartbleed, denn die Schwachstelle besteht in der sogenannten ‚Bash‘ (Bourne Again Shell), einem seit 30 Jahren genutzten Programm in Linux, über das man die Eingabe von Textbefehlen steuern kann. Im Gegensatz zum reinen Spy-Tool Heartbleed ermöglicht der Bash Bug die konkrete Kontrollübernahme des angegriffenen Systems.

Der Bash Bug ermöglicht es Cyber-Kriminellen somit, auf Rechner und Webserver zuzugreifen, sie mit Schadsoftware zu infizieren, Daten abzugreifen oder gar zu verändern. Clevere Angreifer haben bereits den kriminellen Nutzen dieser Sicherheitslücke erkannt, sodass keine Zeit verschwendet werden sollte. Denn es gibt viele Software-Pakete, einschließlich Server-Software, die auf Befehle und Skripte angewiesen sind und Bash standardmäßig verwenden. Alle, die sich fragen, wie ernst diese Lücke im Vergleich zu Heartbleed ist, sollten wissen, dass das National Institute of Standards and Technology (NIST) in ihrem „Common Vulnerability Scoring System“ Heartbleed mit der Gefahrenstufe 5 bewertet haben. Die neue Bash-Schwachstelle wurde dagegen mit der maximalen Punktzahl von 10 bewertet. Dagegen wirkt Heartbleed wie Spielzeug.

Die Tatsache, dass die aktuelle Sicherheitsanfälligkeit schon seit so vielen Jahren in einem häufig genutzten Software-Paket mit einem für jedermann zugänglichen Quellcode entstanden ist, sollte deutlich machen, dass es noch viele unentdeckte Schwachstellen gibt. Angreifer werden immer Wege finden, um Systeme zu infiltrieren. Unternehmen weltweit sollten daher reagieren und ihre Systeme bis ins kleinste Detail überprüfen. Um Klarheit zu haben, ist es empfehlenswert, umgehend das eigene Netzwerk Intrusion Detection System zu prüfen oder ein solches System zu implementieren. Nur so lassen sich Angriffe erkennen und auch dokumentieren. Danach sollten Unternehmen alle mit dem Internet verbundenen Systeme scannen und entsprechende Patches installieren. Denn Hacker & Co. erkennen schnell, an welchen Punkten sie in ein unternehmensinternes System eindringen können.

Um auch langfristig geschützt zu sein, sollten Firmen auch Angriffe auf andere, ihnen ähnliche Unternehmen, beobachten. Ebenso ist es ratsam, dass sie ihre Mitarbeiter einschwören, sichere Passwörter zu verwenden. Denn häufig verwenden Mitarbeiter dieselben Passwörter für private und geschäftliche Zwecke. Es ist durchaus üblich, dass Angreifer, Benutzerkennwörter von einer Website abgreifen und sie dann verwenden, um in Unternehmensnetzwerke zu gelangen.“

Weitere Informationen zum Thema:

golem.de
Die Hintergründe zu Shellshock (de)

heise.de, 24.09. 2014
ShellShock: Standard-Unix-Shell Bash erlaubt das Ausführen von Schadcode (de)

redhat Security Blog, 24.09.2014
Bash specially-crafted environment variables code injection attack (en)

seclists.org, 24.09.2014
CVE-2014-6271: remote code execution through bash (en)