Artikel top billede

Derfor er Bash-sårbarheden kritisk: 'Shellshock' kan ramme et hav af systemer

Bash-sårbarheden kaldet Shellshock kan ramme alt fra Linux, Android og Mac til routere, tunge industrisystemer og Internet of Things. Tjek her, om du overhovedet kan gøre noget for at beskytte dig.

Som Computerworld fortalte torsdag, er der fundet en kritisk sårbarhed det Bash-shell kommandoværktøj, der findes i både Linux og Unix og i Apples Mac OS X.

Det viser sig dog, at en række andre systemer også kan være i risikozonen, fordi de netop bygger på de førnævnte systemer - heriblandt finder vi Android, routere og enheder, der indgår i Internet of Things.

Bash har eksisteret siden 1989 og er et meget udbredt værktøj i mange Linux/Unix-baserede systemer.

Sådan kan det misbruges

Shellshock, som sårbarheden er blevet døbt, betyder, at kriminelle kan foretage et fjernangreb med ondsindet kode via den Bash-shell, der findes i systemerne.

Flere eksperter sammenligner Shellshock med den meget omtalte Heartbleed-sårbarhed, og nogle mener sågar, at risikoen for at blive ramt af Shellshock kan vise sig at være et langt mere alvorligt problem.

Heartbleed-sårbarheden betød blandt andet, at adgangskoder og brugernavne og andre private oplysninger kunne havne i de forkerte hænder via den sårbarhed, der var i OpenSSL.

Med Shockshell er truslen snarere, at de kriminelle kan tage kontrollen over de sårbare systemer, fordi de får mulighed for at afvikle kode via Bash-kommandoværktøjet.

"Vi ser angreb nu"

Sikkerhedsselskabet Trend Micro gennemgår i et længere blogindlæg Bash-problemet og skriver blandt, at andet denne sårbarhed er "udbredt, potentielt kan forårsage betydelig skade og kræver en meget lille teknisk viden at udnytte."

"Fordi Linux er at finde i halvdelen af serveren på internettet, Android-telefoner og størstedelen de enheder, der er i Internet of Things (IoT), rammer det meget bredt," skriver Trend Micro.

Sikkerhedsselskabet mener sågar, at Bitcoin også kan blive ramt, fordi Bitcoin Core kontrolleres af Bash.

"Vi ser allerede angreb derude nu," føjer Trend Micro til.

Heldigvis har flere af Linux-distributionerne allerede fået en opdatering, der kan lukke hullet, og det anbefales ikke overraskende, at man sætter gang i fingrene på tastaturet med det samme og får udrullet patchen.

Mac- og Android-brugere må vente

Der er dog fortsat rigtig mange brugere, der må vente på en løsning:

"Fixes til Android-telefoner og andre enheder skal komme fra producenterne (hvis de overhovedet kommer)," skriver Trend Micro.

Trend Micro har disse fire anbefalinger:

1) Er du almindelig slutbruger, må du vente og holde øje med en opdatering til din Mac, Android-telefon og andre enheder.

2) Kører du med et Linux-system, skal du udrulle en opdatering af Bash med det samme.

3) Har du Linux/Apache-webservere, der køres ved hjælp af Bash-scripts, bør du overveje at bruge noget andet end Bash, indtil der findes en løsning.

4) Er du kunde til en hosted service, skal du tage kontakt til din leverandør og finde ud af, om denne er sårbar - og hvilke planer for beskyttelse, leverandøren har.

For de mere avancerede Mac-brugere, har Apple en vejledning til, hvordan man skifter terminal shell fra eksempelvis bash til en anden - den findes her.

Webservere og industrisystemer 
Selvom Shellshock altså umiddelbart er en trussel mod mange forskellige typer af systemer, vurderes det flere steder, at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gøre størst skade ved at udnytte sårbarheden.

"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtalte en chef fra Red Hat torsdag.

Threatpost har en fin gennemgang af trusler mod de forskellige industrisystemer her og skriver blandt andet, at truslen ikke bliver mindre, når mange af systemerne er forældrede og kun kan patches ved at tillade nedetid, hvilket man typisk ikke gør i tide og utide.

Selvom Shellshock altså fra stort set alle sider betegnes som en kritisk sårbarhed i nogle meget udbredte systemer, så mangler vi endnu at se, hvad de konkrete problemer kan være.

Sådan kan det - måske - ramme dig

En sikkerhedsrådgiver fra virksomheden Veracode udtaler til nyhedsbureauet AP, at Shellshock eksempelvis vil kunne udnyttes til at tage kontrollen over en Mac, der er sluttet til et offentligt Wi-Fi-netværk, ligesom man kan forestille sig, at Bash-hullet kan udnyttes til at sende virus i omløb.

Samtidig understreges det dog, at det fortsat er tale om teoretiske, potentielle trusler - ikke konkrete angreb, der allerede finder sted.

Danske CSIS har vurderet, at "et større antal services og applikationer samt Debian og andre Linux distributioner er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering."

"Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed," lød det torsdag fra CSIS.

Læs også:

Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X

Værd at vide om Heartbleed: Fem ting der kan hjælpe dig




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere