Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug
Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code uit te voeren op Linux- en Unix-gebaseerde systemen.
De bug is ontdekt door Red Hat. Bash (Bourne Again SHell) is een lokale command shell, die geen data behandeld die door externe partijen wordt aangeleverd. Op het eerste oog lijkt het gevaar van de bug dan ook mee te vallen. Het probleem zit hem echter in het feit dat veel software op Linux- en Unix-gebaseerde systemen Bash gebruiken om omgevingsvariabelen op te stellen die worden gebruikt bij het uitvoeren van andere programma's. De bug geeft aanvallers hierdoor de mogelijkheid op afstand willekeurige code te laten uitvoeren.
Updaten
Een enorme hoeveelheid apparaten is op Linux of Unix gebaseerd. Al deze systemen maken gebruik van Bash. Doordat iedere versie van Bash kwetsbaar is zijn al deze systemen kwetsbaar voor de bug. De bug zal op de meeste veel gebruikte apparaten binnen een relatief korte tijd worden verholpen met behulp van een patch. Doordat deze systemen veel worden gebruikt zullen de meeste gebruikers de moeite nemen het systeem te updaten, waardoor het gevaar op deze apparatuur is geweken.
Gebruikers gaan echter veel minder zorgvuldig om met apparaten die niet vaak worden gebruikt. Denk hierbij aan een Internet of Things-apparaten zoals digitale camera's of televisies die in verbinding staan met internet. Niet alleen worden updates voor dit soort apparaten doorgaans minder snel uitgebracht dan voor veel gebruikte apparatuur, ook zijn gebruikers zich minder bewust dat ook de software op deze apparaten geüpdatet moet worden. Robert Graham van Errata Security verwacht dan ook dat veel van dit soort apparaten nog lange tijd kwetsbaar zullen blijven voor de Bash-bug.
CVSS score van 10
Het gevaar van de kwetsbaar blijkt ook uit de CVSS score van 10 die de bug heeft behaald. Dit is de hoogste score die een kwetsbaar toegewezen kan krijgen. De Bash-bug krijgt de score met het oog op de enorme impact die deze kan hebben en de eenvoud waarmee hier misbruik van kan worden gemaakt.
Inmiddels is een patch beschikbaar voor kwetsbare Linux- en Unix-systemen. Rapid7 waarschuwt echter dat Bash ondanks de patch waarschijnlijk nog steeds kwetsbaar is. Cybercriminelen zouden op dit moment de bug actief misbruiken om een nieuw botnet op te bouwen dat wordt gebruikt voor het uitvoeren van DDoS-aanvallen. "Het is onduidelijk hoe moeilijk de systemen te patchen zullen zijn, maar het is zeker dat aanvaller op ongelooflijk eenvoudige wijze systemen kunnen binnendringen", schrijft Jen Ellis van Rapid7 in een blogpost.
Meer over
Lees ook
Sora: een historische ontwikkeling, maar mét beveiligingsrisico’s
De introductie van Sora door OpenAI markeert een mijlpaal in videobewerking. De revolutionaire technologie is opwindend, maar roept tegelijkertijd vragen op over de gevolgen van de rol van AI bij het maken van digitale content en cybersecurity.
Terugblik met Remco Geerts van Tesorion
InfosecurityMagazine bestaat tien jaar. Wat is er in die tijd veranderd? Die vraag is voorgelegd aan Remco Geerts. Remco is bij Tesorion verantwoordelijk voor strategie en innovatie. Hij zit ruim 25 jaar in de sector. Hierdoor is hij niet alleen de juiste persoon voor die functie, maar ook voor dit interview.
Orange Cyberdefense: deze 7 veelgemaakte fouten maken OT-omgevingen kwetsbaar
Volgens onderzoek van Orange Cyberdefense was de maakindustrie het afgelopen jaar het grootste doelwit van cyberaanvallen: bijna 33 procent trof deze sector. Al jaren is deze industrie het vaakst getroffen. Jeroen Wijnands, Head of OT Security bij Orange Cyberdefense, ziet bij het gros van deze bedrijven dezelfde misstappen. Dit zijn volgens hem d1