Som Computerworld fortalte torsdag, er der fundet en kritisk sårbarhed det Bash-shell kommandoværktøj, der findes i både Linux og Unix og i Apples Mac OS X.
Det viser sig dog, at en række andre systemer også kan være i risikozonen, fordi de netop bygger på de førnævnte systemer - heriblandt finder vi Android, routere og enheder, der indgår i Internet of Things.
Bash har eksisteret siden 1989 og er et meget udbredt værktøj i mange Linux/Unix-baserede systemer.
Sådan kan det misbruges
Shellshock, som sårbarheden er blevet døbt, betyder, at kriminelle kan foretage et fjernangreb med ondsindet kode via den Bash-shell, der findes i systemerne.
Flere eksperter sammenligner Shellshock med den meget omtalte Heartbleed-sårbarhed, og nogle mener sågar, at risikoen for at blive ramt af Shellshock kan vise sig at være et langt mere alvorligt problem.
Heartbleed-sårbarheden betød blandt andet, at adgangskoder og brugernavne og andre private oplysninger kunne havne i de forkerte hænder via den sårbarhed, der var i OpenSSL.
Med Shockshell er truslen snarere, at de kriminelle kan tage kontrollen over de sårbare systemer, fordi de får mulighed for at afvikle kode via Bash-kommandoværktøjet.
"Vi ser angreb nu"
Sikkerhedsselskabet Trend Micro gennemgår i et længere blogindlæg Bash-problemet og skriver blandt, at andet denne sårbarhed er "udbredt, potentielt kan forårsage betydelig skade og kræver en meget lille teknisk viden at udnytte."
"Fordi Linux er at finde i halvdelen af serveren på internettet, Android-telefoner og størstedelen de enheder, der er i Internet of Things (IoT), rammer det meget bredt," skriver Trend Micro.
Sikkerhedsselskabet mener sågar, at Bitcoin også kan blive ramt, fordi Bitcoin Core kontrolleres af Bash.
"Vi ser allerede angreb derude nu," føjer Trend Micro til.
Heldigvis har flere af Linux-distributionerne allerede fået en opdatering, der kan lukke hullet, og det anbefales ikke overraskende, at man sætter gang i fingrene på tastaturet med det samme og får udrullet patchen.
Mac- og Android-brugere må vente
Der er dog fortsat rigtig mange brugere, der må vente på en løsning:
"Fixes til Android-telefoner og andre enheder skal komme fra producenterne (hvis de overhovedet kommer)," skriver Trend Micro.
Trend Micro har disse fire anbefalinger:
1) Er du almindelig slutbruger, må du vente og holde øje med en opdatering til din Mac, Android-telefon og andre enheder.
2) Kører du med et Linux-system, skal du udrulle en opdatering af Bash med det samme.
3) Har du Linux/Apache-webservere, der køres ved hjælp af Bash-scripts, bør du overveje at bruge noget andet end Bash, indtil der findes en løsning.
4) Er du kunde til en hosted service, skal du tage kontakt til din leverandør og finde ud af, om denne er sårbar - og hvilke planer for beskyttelse, leverandøren har.
For de mere avancerede Mac-brugere, har Apple en vejledning til, hvordan man skifter terminal shell fra eksempelvis bash til en anden - den findes her.
Webservere og industrisystemer
Selvom Shellshock altså umiddelbart er en trussel mod mange forskellige typer af systemer, vurderes det flere steder, at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gøre størst skade ved at udnytte sårbarheden.
"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtalte en chef fra Red Hat torsdag.
Threatpost har en fin gennemgang af trusler mod de forskellige industrisystemer her og skriver blandt andet, at truslen ikke bliver mindre, når mange af systemerne er forældrede og kun kan patches ved at tillade nedetid, hvilket man typisk ikke gør i tide og utide.
Selvom Shellshock altså fra stort set alle sider betegnes som en kritisk sårbarhed i nogle meget udbredte systemer, så mangler vi endnu at se, hvad de konkrete problemer kan være.
Sådan kan det - måske - ramme dig
En sikkerhedsrådgiver fra virksomheden Veracode udtaler til nyhedsbureauet AP, at Shellshock eksempelvis vil kunne udnyttes til at tage kontrollen over en Mac, der er sluttet til et offentligt Wi-Fi-netværk, ligesom man kan forestille sig, at Bash-hullet kan udnyttes til at sende virus i omløb.
Samtidig understreges det dog, at det fortsat er tale om teoretiske, potentielle trusler - ikke konkrete angreb, der allerede finder sted.
Danske CSIS har vurderet, at "et større antal services og applikationer samt Debian og andre Linux distributioner er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering."
"Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed," lød det torsdag fra CSIS.
Læs også:
Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X
