Is Shellshock erger dan Heartbleed?
Servers, routers en pc's zijn kwetsbaar door een shell-bug waardoor apparaten op afstand kunnen worden overgenomen. Hoe groot is het probleem?
Paniek in securityland om de Unix-bug, meteen Bashpocalypse of Shellshock gedoopt, die allerlei apparaten (met Linux, Unix of Mac OS X) kwetsbaar maakt. Maar op welke manier precies, is nog niet helemaal duidelijk, gezien de onverwachte resultaten die kunnen volgen. De vergelijking met OpenSSL-gat Heartbleed is al snel gemaakt, maar de ene bron stelt dat het probleem groot is maar zich niet verhoudt tot een gat in OpenSSL, terwijl de andere onderzoeker vindt dat het zelfs nog een stapje erger dan Heartbleed is.
Bash-gat krijgt score 10 van 10
Bash is een heruitvinding van de Bourne shell (sh), de vroegere standaardshell van Unix. Vanuit deze commandline kunnen beheerders lokale acties en scriptjes uitvoeren. Dat is volgens veel onderzoekers precies waarom dit gat erger is dan het aanvankelijk lijkt: misbruik van de bug is deels afhankelijk van de creativiteit van de aanvaller.
Omdat Bash vrij veel voorkomt in Linux en Unix is een breed scala aan (web)servers, pc's, routers en andere apparatuur kwetsbaar voor aanvallers. Met name Apache webservers zijn vatbaar, omdat aanvallers een script zouden kunnen gebruiken die de Bash aanroept, waardoor er geen authenticatie vereist is om acties uit te voeren. Standaardeninstituut NIST die CVE's publiceert, geeft het gat de allerhoogste score: 10 van 10.
Patches rollen uit
Het gat werd ontdekt door Stephane Chazelas, een Britse Unix-admin. Achter de schermen is naarstig gewerkt aan patches voordat de disclosure vannacht volgde. US-CERT heeft inmiddels een lijst met distro's die een patch beschikbaar hebben gesteld. Momenteel staan CentOS, Debian, Red Hat en Ubuntu daarop. Er is tevens een overkoepelende GNU Bash-patch.
Josh Bressers van Red Hat's securityteam zegt tegen Kaspersky's Threatpost: "Twee verschillende systemen worden niet op dezelfde manier geraakt. (...) Zelfs als je denkt dat je goed zit, is dat waarschijnlijk niet zo."
Red Hat voerde een test uit en kwam erachter dat er een stuk meer kwetsbaar was dan ze verwachtten. Er verscheen vannacht al direct een patch, maar die blijkt het probleem onvoldoende te verhelpen. De patch levert een iets andere kwetsbaarheid op die momenteel wordt onderzocht. Red Hat omschrijft een work-around die admins in de tussentijd kunnen uitvoeren.
Legacy-drama
Om de vraag de beantwoorden: is het gat erger dan Heartbleed? Ligt eraan wie je het vraagt. Beveiligingsbedrijf Rapid7 doet ook onderzoek en stelt dat het allemaal wel mee blijkt te vallen. Het gat is volgens Rapid7 inderdaad vrij eenvoudig te misbruiken, maar daarvoor moet aan een heleboel voorwaarden worden voldaan, waardoor exploits niet zo breed kunnen worden misbruikt als bij het OpenSSL-gat.
Maar één effect heeft het in elk geval gemeen met het OpenSSL-gat: nieuwere systemen worden waarschijnlijk redelijk snel gepatcht, maar een half jaar na Heartbleed bleek nog steeds menig server kwetsbaar via het OpenSSL-gat. Omdat ook de Bash-bug twintig jaar oude systemen parten kan spelen, kun je er de donder op zeggen dat ook dit gat nog lang gaat na-ijlen.
bron: computerworld.nl