KW32: CSOC-Event der Woche – Sicherheitslücke Unix-Shell „Bash“

Durchschnittliche CSOC-Gesamtevents pro Tag:      42.371
Detektionshäufigkeit CVE-2017-6271:      36

Eventbeschreibung CVE-2014-6271

Diese Woche konnten wir bereits 36 Exploitversuche detektieren, welche auf Sicherheitslücken der Unix-Shell „Bash“ abzielen. Diese Feststellung ist grundsätzlich interessant, da die Schwachstelle bereits im Jahr 2014 entdeckt werden konnte und Systeme im Internet nach wie vor von Angreifern auf die Sicherheitslücke hin geprüft werden. Gefährlich kann diese Sicherheitslücke insbesondere für Linux / Unix-Webserver werden, wenn die Server CGI-Skripte verwenden, welche seit längerer Zeit nicht mit Updates versorgt wurden und Bash auf den lokalen Systemen als Shell genutzt wird. Die Sicherheitslücke wurde in CVE-2014-6271 definiert und näher beschrieben.

Technische Beschreibung: CVE-2014-6271

When a web server receives a request for a page there are three parts of the request that can be susceptible to the Shellshock attack: the request URL, the headers that are sent along with the URL, and what are known as „arguments“ (when you enter your name and address on a web site it will typically be sent as arguments in the request). Shellshock occurs when the data is passed into the shell called „bash“. Web servers quite often need to run other programs to respond to a request, and it’s common that these variables are passed into bash or another shell. The Shellshock problem specifically occurs when an attacker modifies the origin HTTP request to contain the magic () { :; }; string. For example, if example.com was vulnerable then

curl -H „User-Agent: () { :; }; /bin/eject“ http://example.com/

would be enough to actually make the CD or DVD drive eject.