Artikel top billede

(Foto: Povl D. Rasmussen)

Nyt Shellshock-angreb afsløret: Nu sender de en e-mail med ond kode

Shellshock-sårbarheden udnyttes nu til at snige ondsindet kode ind på mail-servere. Se fremgangsmåden beskrevet her.

I slutningen af september opdagede sikkerhedsfolk den meget omtalte sårbarhed i det Bash-shell-værktøj, der findes i både Linux- og Unix-distributioner, i Apples Mac OS X og Android.

Selvom der fra starten blev talt med store ord om, at kriminelle kunne foretage fjernangreb i et hav af systemer via 'Shellshock', blev det samtidig understreget, at man endnu ikke havde set ret mange reelle forsøg på det.

Nu har sikkerhedsfirmaet Trend Micro imidlertid en gennemgang af det seneste Shellshock-angreb, der går efter noget så udbredt som SMTP e-mail-protokollen.

"Hvis koden afvikles med succes på en sårbar SMTP server, vil en IRC bot kendt som ‘JST Perl IrcBot' blive downloadet og udført. Den vil derefter slette sig selv, formentlig for at kunne gå under radaren og forblive uopdaget," skriver Trend Micro.

Flere eksperter har sammmenlignet Shellshock med den meget kritiske Heartbleed-sårbarhed, der blev skrevet så meget om sidste år, og nogle mener, at risikoen for at blive ramt af Shellshock er langt mere alvorligt problem.

Sådan angriber de via mail

Trend Micros beskrivelse af, hvordan de kriminelle udnytter SMTP-sårbarheden, giver et indblik i, hvordan Shellshock reelt kan udnyttes:

1) Angriberen laver en e-mail med ondsindet Shellshock-kode indsat i felterne emne, fra, til og cc.

2) Herefter sendes mailen til en hvilken som helst sårbar SMTP-server.

3) Når en sårbar SMTP mail-server modtager den ondsindede mail, vil den indlejrede Shellshock-kode blive afviklet, og IRC bot'en downloades og afvikles. Herefter oprettes der forbindelse til en server.

4) Nu kan de kriminelle udføre forskellige handlinger med mail-serveren, eksempelvis at udsende spam-mails.

"Dette SMTP-angreb fremhæver endnu en platform til at angribe og udnytte Shellshock-sårbarheden," lyder det fra Trend Micro, der samtidig oplyser, at denne type angreb indtil videre er spottet i blandt andet Tyskland, Taiwan, USA og Canada.

Går efter bestemte servere og systemer

Samtidig skriver Informationweek, at et andet sikkerhedsfirma, SERT, har frigivet information, der viser, at de kriminelle har inkluderet Shellshock på listen over sårbarheder, man skal forsøge at udnytte - og at de første angreb fandt sted inden for 24 timer efter annonceringen af sårbarheden.

"Denne sårbarhed har accelereret den tidslinje, der typisk kan observeres, når en ny sårbarhed opdages," lyder det blandt andet.

Bash har eksisteret siden 1989 og er et meget udbredt værktøj i mange Linux/Unix-baserede systemer.

Selvom Shellshock altså umiddelbart er en trussel mod mange forskellige typer af systemer, vurderes det flere steder, at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gøre størst skade ved at udnytte sårbarheden.

"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtalte en chef fra Red Hat for nogen tid siden..

Læs også:

Derfor er Bash-sårbarheden kritisk: ‘Shellshock' kan ramme et hav af systemer

Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Despec Denmark A/S
Distributør af forbrugsstoffer, printere, it-tilbehør, mobility-tilbehør, ergonomiske produkter, kontor-maskiner og -tilbehør.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Undgå cyberkatastrofen med automatiseret kontrol over sensitive data

Når cyberkriminelle gennemtrænger din sikkerhedsinfrastruktur, bruger de i snit 48 dage til at danne sig et overblik over sensitive data, før de lukker dine systemer og data ned med ransomware. På dette seminar får du derfor et solidt grundlag for at sikre dig overblik over sensitive, virksomhedskritiske informationer. Derudover vil du få et praktisk indblik i, hvordan du beskytter dine informationer, så du er er mindre sårbar når cyberkriminelle trænger ind på dit netværk, samt et overblik over typiske angrebsformer og viden om, hvordan et ransomwareangreb foregår i praksis.

07. februar 2023 | Læs mere


Status og erfaringer fra fem år med GDPR

Vi samler nogle af Danmarks fremmeste GDPR-eksperter trådene efter knapt fem år. Dette giver dig et solidt overblik over de hidtidige erfaringer og sikker viden at basere din indsats på, når du skal planlægge og tilpasse din organisations indsats for at sikre compliance med det omfattende regelkompleks.

07. februar 2023 | Læs mere


ERP-trends 2023

Vi sætter også fokus på, hvordan udviklingen kommer til at påvirke din organisation, hvordan du bedst forbereder og planlægger ERP-indsatsen og om, hvilke faldgruber du skal være opmærksom på. Herunder hvordan den stadig mere udbredte – og uomgængelige – anvendelse af cloudservices vil påvirke dine muligheder for at få mest muligt ud af dine investeringer.

08. februar 2023 | Læs mere