Bash-bug is mogelijk gevaarlijker dan de Heartbleed-bug

hacker

Een nieuwe kwetsbaarheid in de command shell Bash maakt veel Linux- en Unix-gebaseerde systemen waaronder Mac's kwetsbaar. Het lek heeft mogelijk meer impact dan de beruchte Heartbleed-bug, waardoor miljoenen websites kwetsbaar bleken te zijn dankzij een fout in OpenSSL. De nieuwe bug geeft aanvallers de mogelijkheid op afstand willekeurige code uit te voeren op Linux- en Unix-gebaseerde systemen.

De bug is ontdekt door Red Hat. Bash (Bourne Again SHell) is een lokale command shell, die geen data behandeld die door externe partijen wordt aangeleverd. Op het eerste oog lijkt het gevaar van de bug dan ook mee te vallen. Het probleem zit hem echter in het feit dat veel software op Linux- en Unix-gebaseerde systemen Bash gebruiken om omgevingsvariabelen op te stellen die worden gebruikt bij het uitvoeren van andere programma's. De bug geeft aanvallers hierdoor de mogelijkheid op afstand willekeurige code te laten uitvoeren.

Updaten

Een enorme hoeveelheid apparaten is op Linux of Unix gebaseerd. Al deze systemen maken gebruik van Bash. Doordat iedere versie van Bash kwetsbaar is zijn al deze systemen kwetsbaar voor de bug. De bug zal op de meeste veel gebruikte apparaten binnen een relatief korte tijd worden verholpen met behulp van een patch. Doordat deze systemen veel worden gebruikt zullen de meeste gebruikers de moeite nemen het systeem te updaten, waardoor het gevaar op deze apparatuur is geweken.

Gebruikers gaan echter veel minder zorgvuldig om met apparaten die niet vaak worden gebruikt. Denk hierbij aan een Internet of Things-apparaten zoals digitale camera's of televisies die in verbinding staan met internet. Niet alleen worden updates voor dit soort apparaten doorgaans minder snel uitgebracht dan voor veel gebruikte apparatuur, ook zijn gebruikers zich minder bewust dat ook de software op deze apparaten geüpdatet moet worden. Robert Graham van Errata Security verwacht dan ook dat veel van dit soort apparaten nog lange tijd kwetsbaar zullen blijven voor de Bash-bug.

CVSS score van 10

Het gevaar van de kwetsbaar blijkt ook uit de CVSS score van 10 die de bug heeft behaald. Dit is de hoogste score die een kwetsbaar toegewezen kan krijgen. De Bash-bug krijgt de score met het oog op de enorme impact die deze kan hebben en de eenvoud waarmee hier misbruik van kan worden gemaakt.

Inmiddels is een patch beschikbaar voor kwetsbare Linux- en Unix-systemen. Rapid7 waarschuwt echter dat Bash ondanks de patch waarschijnlijk nog steeds kwetsbaar is. Cybercriminelen zouden op dit moment de bug actief misbruiken om een nieuw botnet op te bouwen dat wordt gebruikt voor het uitvoeren van DDoS-aanvallen. "Het is onduidelijk hoe moeilijk de systemen te patchen zullen zijn, maar het is zeker dat aanvaller op ongelooflijk eenvoudige wijze systemen kunnen binnendringen", schrijft Jen Ellis van Rapid7 in een blogpost.

Lees ook
Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol

Hackers misbruiken onwaakzaamheid over bekende kwetsbaarheid in netwerktijdprotocol

Sommige kwetsbaarheden worden zo weinig misbruikt dat eigenlijk niemand er aandacht aan besteed. Een voorbeeld hiervan is NTP-servers. Cybercriminelen hebben onverwachts een flinke hoeveelheid aanvallen op netwerktijdprotocol (NTP)-servers uitgevoerd, waardoor zij allerlei servers van grote bedrijven konden neerhalen. Symantec meldt een plotselin1

Intel doopt McAfee om tot Intel Security

Intel doopt McAfee om tot Intel Security

Intel maakt bekend de naam McAfee niet langer te zullen gebruiken voor zijn antivirusproducten. Het bedrijf wil hiermee de banden met de McAfee-oprichter John McAfee zo veel mogelijk verbreken. De McAfee-oprichter is de laatste jaren regelmatig negatief in het nieuws. Zo werd hij in 2012 gezocht voor moord in het Centraal-Amerikaanse land Belize.1

SANS publiceert resultaten onderzoek naar security Internet of Things

SANS publiceert resultaten onderzoek naar security Internet of Things

SANS heeft een onderzoek afgerond naar de security-aspecten van het Internet of Things. In het '2013 Securing the Internet of Things' geheten rapport zijn de resultaten gebundeld van gesprekken met 391 IT-specialisten. Daarin gaan zij in op de huidige stand van zaken rond Internet of Things en de nabije toekomst. Op 15 januari organiseert SANS een1