CVE-2014-6271 – “Shellshock” – Ernstige kwetsbaarheid in Bash

CVE-2014-6271 – “Shellshock” – Ernstige kwetsbaarheid in Bash

Category : IT Nieuws

Wat is er aan de hand?
Een onderdeel dat op heel veel computersystemen voorkomt blijkt een ernstig lek te bevatten. Het betreft “Bash” en dat is een veelgebruikte “shell”. Een shell is een onderdeel van een besturingssysteem dat de gebruiker de mogelijkheid geeft om onderdelen van het systeem te beheersen.

Het lek heeft het identificatienummer CVE-2014-6271 gekregen en heet in de volksmond “Shellshock”.

Waarom is dit belangrijk?
Bash is de standaard shell in Linux en Mac OS X platformen en wordt daarnaast ook in veel andere systemen gebruikt. Hoeveel systemen dit wereldwijd exact betreft is nauwelijks te berekenen noch te bevatten: het zijn er in ieder geval heel veel. Al deze systemen zijn dus mogelijk te misbruiken en de omvang van dit probleem is daarmee gigantisch.

Vanwege de omvang wordt een vergelijk gemaakt met Heartbleed eerder dit jaar. De meningen zijn verdeeld of het ernstiger of minder ernstig is, maar hoe dan ook komt het op zijn minst in de buurt.

Vanuit diverse hoeken wordt gemeld dat op het internet al actief gezocht wordt naar kwetsbare systemen, waarschijnlijk om deze te kunnen misbruiken. Tevens wordt gewezen op de mogelijkheid om een worm te maken die dit lek misbruikt om zichzelf te verspreiden. Voor cybercriminelen een ultieme mogelijkheid om in 1 klap een grote hoeveelheid slachtoffers te maken. Er wordt verondersteld dat het een kwestie van tijd is voordat een dergelijke worm actief zal worden.

Op wie is dit van toepassing?
Iedere organisatie bezit systemen in het netwerk die gebruik maken van Bash, zoveel is zeker. Of u zich bewust bent van al die systemen is maar de vraag. Het is mogelijk dat ’embedded’ systemen zoals medische apparatuur, kassa’s of projectoren, voorzien zijn van Bash zonder dat u zich dat direct realiseert.

Wat kunt u doen?
Voor een groot aantal besturingssystemen zijn inmiddels updates beschikbaar. Het is dus zaak om de systemen waarvan u weet dat Shellshock er op van toepassing is bij te werken naar de laatste versie. Daarin ligt de prioriteit bij systemen die vanaf het internet benaderbaar zijn, denk aan web/ of e-mailservers.


1 Comment

Alexander

29 september 2014 at 9:27 am

Patches
Er zijn inmiddels 4 patches nodig om de bekende problemen met Bash op te lossen. De reden waarom er telkens nieuwe updates nodig zijn is dat inmiddels het vergrootglas ligt op Bash en telkens nieuwe manieren gevonden worden om het te misbruiken.
Kwetsbaarheid 3 en 4 zijn pas heel recent bekend geworden en hiervoor zijn nog bijna nog geen updates beschikbaar.

CVE-2014-6271
CVE-2014-7169
CVE-2014-7186 / CVE-2014-7187
CVE-2014-6277
Verschillende makers van besturingssystemen hebben updates uitgebracht. Een goed overzicht van de laatste stand van zaken is in dit artikel te verkrijgen: https://www.security.nl/posting/403551/Nieuwe+ronde+updates+voor+ernstig+Bash-lek

Advies
Wat u moet doen:

Kwetsbare systemen in het netwerk identificeren. Zie “Netwerk scannen op kwetsbaarheid” hieronder.
Kwetsbare systemen patchen. Dit zal mogelijk zijn afhankelijk van het type apparaat door zelf een patch te installeren of een update van de fabrikant af te wachten.
Het gaat hoogstwaarschijnlijk veel tijd kosten voordat u klaar bent met stap 2. Daarom raden wij aan om te overwegen om Virtual Patching te activeren in de tussentijd. Zie “Virtual Patching” hieronder.

Netwerk scannen op kwetsbaarheid
Diverse vulnerability scanners zijn bijgewerkt om in uw netwerk kwetsbare systemen te identificeren:
McAfee Vulnerability Management: https://kc.mcafee.com/corporate/index?page=content&id=KB83002
Nessus: http://www.tenable.com/blog/tenable-issues-shellshock-detection-plugins-updated
Nmap (open-source): http://nmap.org/

Let op: vulnerability scanning vanuit het netwerk biedt geen garantie over ONkwetsbaarheid. Het beste kunnen systemen die NIET Microsoft Windows draaien en NIET s kwetsbaar worden aangeduid 1voor1 handmatig worden nagelopen om de status vast te stellen.

Virtual Patching
Om ongepatchte systemen te beschermen tegen misbruik, kan IPS technologie worden ingezet. De volgende updates zijn nodig om misbruik te herkennen
McAfee: https://kc.mcafee.com/agent/index?page=content&id=KB83009
Fortinet: http://www.fortiguard.com/advisory/FG-IR-14-030/
Snort (open-source): http://www.volexity.com/blog/?p=19

Bekijk hier de officiele statements van de fabrikanten:
McAfee: https://kc.mcafee.com/agent/index?page=content&id=SB10085
Fortinet: http://www.fortiguard.com/advisory/FG-IR-14-030/
Baracuda: https://blog.barracuda.com/tag/shellshock/
Fireeye: http://www.fireeye.com/blog/technical/vulnerabilities/2014/09/the-big-bad-bash-bug.html- Cryptshare: https://www.cryptshare.com/nc/en/news/newsdetail.html?tx_news_pi1%5Bnews%5D=200&tx_news_pi1%5Bcontroller%5D=News&tx_news_pi1%5Baction%5D=detail
Airwatch: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2090740