Derfor er Bash-sårbarheden kritisk: 'Shellshock' kan ramme et hav af systemer

Bash-sårbarheden kaldet Shellshock kan ramme alt fra Linux, Android og Mac til routere, tunge industrisystemer og Internet of Things. Tjek her, om du overhovedet kan gøre noget for at beskytte dig.

Som Computerworld fortalte torsdag, er der fundet en kritisk sårbarhed det Bash-shell kommandoværktøj, der findes i både Linux og Unix og i Apples Mac OS X.

Det viser sig dog, at en række andre systemer også kan være i risikozonen, fordi de netop bygger på de førnævnte systemer - heriblandt finder vi Android, routere og enheder, der indgår i Internet of Things.

Bash har eksisteret siden 1989 og er et meget udbredt værktøj i mange Linux/Unix-baserede systemer.

Sådan kan det misbruges
Shellshock, som sårbarheden er blevet døbt, betyder, at kriminelle kan foretage et fjernangreb med ondsindet kode via den Bash-shell, der findes i systemerne.

Flere eksperter sammenligner Shellshock med den meget omtalte Heartbleed-sårbarhed, og nogle mener sågar, at risikoen for at blive ramt af Shellshock kan vise sig at være et langt mere alvorligt problem.

Heartbleed-sårbarheden betød blandt andet, at adgangskoder og brugernavne og andre private oplysninger kunne havne i de forkerte hænder via den sårbarhed, der var i OpenSSL.

Med Shockshell er truslen snarere, at de kriminelle kan tage kontrollen over de sårbare systemer, fordi de får mulighed for at afvikle kode via Bash-kommandoværktøjet.

"Vi ser angreb nu"
Sikkerhedsselskabet Trend Micro gennemgår i et længere blogindlæg Bash-problemet og skriver blandt, at andet denne sårbarhed er "udbredt, potentielt kan forårsage betydelig skade og kræver en meget lille teknisk viden at udnytte."

"Fordi Linux er at finde i halvdelen af serveren på internettet, Android-telefoner og størstedelen de enheder, der er i Internet of Things (IoT), rammer det meget bredt," skriver Trend Micro.

Sikkerhedsselskabet mener sågar, at Bitcoin også kan blive ramt, fordi Bitcoin Core kontrolleres af Bash.

"Vi ser allerede angreb derude nu," føjer Trend Micro til.

Heldigvis har flere af Linux-distributionerne allerede fået en opdatering, der kan lukke hullet, og det anbefales ikke overraskende, at man sætter gang i fingrene på tastaturet med det samme og får udrullet patchen.

Mac- og Android-brugere må vente
Der er dog fortsat rigtig mange brugere, der må vente på en løsning:

"Fixes til Android-telefoner og andre enheder skal komme fra producenterne (hvis de overhovedet kommer)," skriver Trend Micro.

Trend Micro har disse fire anbefalinger:

1) Er du almindelig slutbruger, må du vente og holde øje med en opdatering til din Mac, Android-telefon og andre enheder.

2) Kører du med et Linux-system, skal du udrulle en opdatering af Bash med det samme.

3) Har du Linux/Apache-webservere, der køres ved hjælp af Bash-scripts, bør du overveje at bruge noget andet end Bash, indtil der findes en løsning.

4) Er du kunde til en hosted service, skal du tage kontakt til din leverandør og finde ud af, om denne er sårbar - og hvilke planer for beskyttelse, leverandøren har.

For de mere avancerede Mac-brugere, har Apple en vejledning til, hvordan man skifter terminal shell fra eksempelvis bash til en anden - den findes her.

Webservere og industrisystemer 
Selvom Shellshock altså umiddelbart er en trussel mod mange forskellige typer af systemer, vurderes det flere steder, at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gøre størst skade ved at udnytte sårbarheden.

"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtalte en chef fra Red Hat torsdag.

Threatpost har en fin gennemgang af trusler mod de forskellige industrisystemer her og skriver blandt andet, at truslen ikke bliver mindre, når mange af systemerne er forældrede og kun kan patches ved at tillade nedetid, hvilket man typisk ikke gør i tide og utide.

Selvom Shellshock altså fra stort set alle sider betegnes som en kritisk sårbarhed i nogle meget udbredte systemer, så mangler vi endnu at se, hvad de konkrete problemer kan være.

Sådan kan det - måske - ramme dig
En sikkerhedsrådgiver fra virksomheden Veracode udtaler til nyhedsbureauet AP, at Shellshock eksempelvis vil kunne udnyttes til at tage kontrollen over en Mac, der er sluttet til et offentligt Wi-Fi-netværk, ligesom man kan forestille sig, at Bash-hullet kan udnyttes til at sende virus i omløb.

Samtidig understreges det dog, at det fortsat er tale om teoretiske, potentielle trusler - ikke konkrete angreb, der allerede finder sted.

Danske CSIS har vurderet, at "et større antal services og applikationer samt Debian og andre Linux distributioner er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering."

"Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed," lød det torsdag fra CSIS.



Læs også:

Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X

Værd at vide om Heartbleed: Fem ting der kan hjælpe dig





Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Fiftytwo A/S
Udvikling og salg af software til integration, kommunikation og e-handel samt ERP med fokus på leasing, detailhandlen, digitale abonnementer og dagblade/magasiner.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Customer Experience 2021 - fokus på CX-strategi og teknologi til at forankre kundeoplevelsen

De gode kundeoplevelser er altafgørende for virksomheden, og netop derfor er det nødvendigt at have fokus på CX-strategi og teknologi, der kan være med til at forbedre kundeoplevelsen endnu mere. Det kræver tid og ressourcer, men det gavner hele virksomheden på lang sigt.

03. december 2020 | Læs mere


Træf det rigtige cloud-valg: Hør om mulighederne med hybrid- og multi-cloud

Vi kan ikke komme udenom, at cloud-teknologien bare vokser og vokser. Den giver adgang til store fordele for din virksomhed, men det kræver at virksomheden træffer strategiske, arkitektoniske og teknologiske vælg. Få indblik i, hvordan ud kan få sikkerhed, release cycles og andet til at gå op i en højere enhed.

09. december 2020 | Læs mere


Er du klar til at rekruttere de attraktive it-talenter i 2021?

Hvad betyder aller mest for danske it-kandidater, og har corona været med til at skubbe til it-kandidaternes værdisæt? Det gennemgår vi på denne times webinar, hvor der naturligvis også vil være plads til spørgsmål og mulighed for videre dialog.

10. december 2020 | Læs mere






Premium
Datatilsynet øger GDPR-kontrollen med ny strategi: Første del bliver spørgeskema med 100 spørgsmål
Det danske Datatilsyn er på vej med en ny data- og risikobaseret strategi i tre faser. Den første bliver et skema med op mod 100 spørgsmål, som virksomheder og myndigheder skal besvare. "Tilsynsmodellen har et element af stikprøvekontrol og er opbygget som en tragt," siger tilsynschef Frederik Siegumfeldt.
Computerworld
Bitcoinen nåede lige at kulminere igen – men så kom krakket
Der blev sat en ny rekord for bitcoinens værdi i år – men godt 24 timer efter blev der høvlet næsten 20.000 kroner af den.
CIO
Podcast: Her er seks gode råd om ledelse og digitalisering fra danske top-CIO'er
The Digital Edge: Vi har talt med 17 af Danmarks dygtigste digitale ledere - og samlet deres seks bedste råd om digitalisering og ledelse. Få alle rådene på 26 minutter i denne episode af podcasten The Digital Edge.
Job & Karriere
Se Waoos forklaring: Derfor har selskabet fyret topchef Jørgen Stensgaard med omgående virkning
Waaos bestyrelse opsiger fiberselskabets topchef, Jørgen Stensgaard, der fratræder med omgående virkning. Se hele forklaringen fra Waao her.
White paper
Optimér produktiviteten og lad din printer følge med ud i skyen
De fleste virksomheder investerer betydelige beløb i den digitale transformationsproces, men skriver alligevel dokumenter ud som aldrig før, og medarbejdere opfatter decideret print som en forudsætning for at kunne arbejde effektivt. Alligevel er virksomhedens printstruktur ofte et systemmæssigt stedbarn, der er sammenstykket af mange forskellige enheder og platforme – hvilket skaber forvirring og betydeligt tidsspilde. Print passer heller helt ind i hverken den eksisterende digitale infrastruktur eller i den cloudbaserede infrastruktur, virksomheden sigter mod. Det udfordrer både sikkerhed, produktivitet og digital strategi som hele. I denne hvidbog kan du læse om udfordringerne og om, hvordan du håndterer dem mest effektivt som et led i den digitale transformationsproces.