Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug

Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code uit te voeren op Linux- en Unix-gebaseerde systemen.

De bug is ontdekt door Red Hat. Bash (Bourne Again SHell) is een lokale command shell, die geen data behandeld die door externe partijen wordt aangeleverd. Op het eerste oog lijkt het gevaar van de bug dan ook mee te vallen. Het probleem zit hem echter in het feit dat veel software op Linux- en Unix-gebaseerde systemen Bash gebruiken om omgevingsvariabelen op te stellen die worden gebruikt bij het uitvoeren van andere programma's. De bug geeft aanvallers hierdoor de mogelijkheid op afstand willekeurige code te laten uitvoeren.

Updaten

Een enorme hoeveelheid apparaten is op Linux of Unix gebaseerd. Al deze systemen maken gebruik van Bash. Doordat iedere versie van Bash kwetsbaar is zijn al deze systemen kwetsbaar voor de bug. De bug zal op de meeste veel gebruikte apparaten binnen een relatief korte tijd worden verholpen met behulp van een patch. Doordat deze systemen veel worden gebruikt zullen de meeste gebruikers de moeite nemen het systeem te updaten, waardoor het gevaar op deze apparatuur is geweken.

Gebruikers gaan echter veel minder zorgvuldig om met apparaten die niet vaak worden gebruikt. Denk hierbij aan een Internet of Things-apparaten zoals digitale camera's of televisies die in verbinding staan met internet. Niet alleen worden updates voor dit soort apparaten doorgaans minder snel uitgebracht dan voor veel gebruikte apparatuur, ook zijn gebruikers zich minder bewust dat ook de software op deze apparaten geüpdatet moet worden. Robert Graham van Errata Security verwacht dan ook dat veel van dit soort apparaten nog lange tijd kwetsbaar zullen blijven voor de Bash-bug.

CVSS score van 10

Het gevaar van de kwetsbaar blijkt ook uit de CVSS score van 10 die de bug heeft behaald. Dit is de hoogste score die een kwetsbaar toegewezen kan krijgen. De Bash-bug krijgt de score met het oog op de enorme impact die deze kan hebben en de eenvoud waarmee hier misbruik van kan worden gemaakt.

Inmiddels is een patch beschikbaar voor kwetsbare Linux- en Unix-systemen. Rapid7 waarschuwt echter dat Bash ondanks de patch waarschijnlijk nog steeds kwetsbaar is. Cybercriminelen zouden op dit moment de bug actief misbruiken om een nieuw botnet op te bouwen dat wordt gebruikt voor het uitvoeren van DDoS-aanvallen. "Het is onduidelijk hoe moeilijk de systemen te patchen zullen zijn, maar het is zeker dat aanvaller op ongelooflijk eenvoudige wijze systemen kunnen binnendringen", schrijft Jen Ellis van Rapid7 in een blogpost.