Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug
Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code uit te voeren op Linux- en Unix-gebaseerde systemen.
De bug is ontdekt door Red Hat. Bash (Bourne Again SHell) is een lokale command shell, die geen data behandeld die door externe partijen wordt aangeleverd. Op het eerste oog lijkt het gevaar van de bug dan ook mee te vallen. Het probleem zit hem echter in het feit dat veel software op Linux- en Unix-gebaseerde systemen Bash gebruiken om omgevingsvariabelen op te stellen die worden gebruikt bij het uitvoeren van andere programma's. De bug geeft aanvallers hierdoor de mogelijkheid op afstand willekeurige code te laten uitvoeren.
Updaten
Een enorme hoeveelheid apparaten is op Linux of Unix gebaseerd. Al deze systemen maken gebruik van Bash. Doordat iedere versie van Bash kwetsbaar is zijn al deze systemen kwetsbaar voor de bug. De bug zal op de meeste veel gebruikte apparaten binnen een relatief korte tijd worden verholpen met behulp van een patch. Doordat deze systemen veel worden gebruikt zullen de meeste gebruikers de moeite nemen het systeem te updaten, waardoor het gevaar op deze apparatuur is geweken.
Gebruikers gaan echter veel minder zorgvuldig om met apparaten die niet vaak worden gebruikt. Denk hierbij aan een Internet of Things-apparaten zoals digitale camera's of televisies die in verbinding staan met internet. Niet alleen worden updates voor dit soort apparaten doorgaans minder snel uitgebracht dan voor veel gebruikte apparatuur, ook zijn gebruikers zich minder bewust dat ook de software op deze apparaten geüpdatet moet worden. Robert Graham van Errata Security verwacht dan ook dat veel van dit soort apparaten nog lange tijd kwetsbaar zullen blijven voor de Bash-bug.
CVSS score van 10
Het gevaar van de kwetsbaar blijkt ook uit de CVSS score van 10 die de bug heeft behaald. Dit is de hoogste score die een kwetsbaar toegewezen kan krijgen. De Bash-bug krijgt de score met het oog op de enorme impact die deze kan hebben en de eenvoud waarmee hier misbruik van kan worden gemaakt.
Inmiddels is een patch beschikbaar voor kwetsbare Linux- en Unix-systemen. Rapid7 waarschuwt echter dat Bash ondanks de patch waarschijnlijk nog steeds kwetsbaar is. Cybercriminelen zouden op dit moment de bug actief misbruiken om een nieuw botnet op te bouwen dat wordt gebruikt voor het uitvoeren van DDoS-aanvallen. "Het is onduidelijk hoe moeilijk de systemen te patchen zullen zijn, maar het is zeker dat aanvaller op ongelooflijk eenvoudige wijze systemen kunnen binnendringen", schrijft Jen Ellis van Rapid7 in een blogpost.
Meer over
Lees ook
Genetec kondigt nieuwe versie van Security Center aan
Genetec Inc., technologieleverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft een nieuwe versie aangekondigd van haar unified security platform Security Center.
NetWitness ondersteunt AWS AppFabric om SaaS-applicaties te beveiligen
NetWitness, leverancier van detectie-, onderzoeks- en responstechnologie voor bedreigingen en incidentresponsdiensten, is geïntegreerd met AWS AppFabric. Die nieuwe service van Amazon Web Services (AWS) zorgty er voor dat software as a service (SaaS)-applicaties snel kunnen worden gekoppeld voor een betere productiviteit en beveiliging.
Genetec: bedrijven kiezen versneld voor cloud- en hybride fysieke security oplossingen
Genetec Inc., leverancier van oplossingen voor unified security, openbare veiligheid, operations en business intelligence, heeft het ‘2024 State of Physical Security Report’ gepubliceerd. Aan dit onderzoek, dat gaat over de beveiligingsstrategieën die organisaties hanteren, deden wereldwijd meer dan 5.500 specialisten op het gebied van fysieke bev1