I slutningen af september opdagede sikkerhedsfolk den meget omtalte sårbarhed i det Bash-shell-værktøj, der findes i både Linux- og Unix-distributioner, i Apples Mac OS X og Android.
Selvom der fra starten blev talt med store ord om, at kriminelle kunne foretage fjernangreb i et hav af systemer via 'Shellshock', blev det samtidig understreget, at man endnu ikke havde set ret mange reelle forsøg på det.
Nu har sikkerhedsfirmaet Trend Micro imidlertid en gennemgang af det seneste Shellshock-angreb, der går efter noget så udbredt som SMTP e-mail-protokollen.
"Hvis koden afvikles med succes på en sårbar SMTP server, vil en IRC bot kendt som ‘JST Perl IrcBot' blive downloadet og udført. Den vil derefter slette sig selv, formentlig for at kunne gå under radaren og forblive uopdaget," skriver Trend Micro.
Flere eksperter har sammmenlignet Shellshock med den meget kritiske Heartbleed-sårbarhed, der blev skrevet så meget om sidste år, og nogle mener, at risikoen for at blive ramt af Shellshock er langt mere alvorligt problem.
Sådan angriber de via mail
Trend Micros beskrivelse af, hvordan de kriminelle udnytter SMTP-sårbarheden, giver et indblik i, hvordan Shellshock reelt kan udnyttes:
1) Angriberen laver en e-mail med ondsindet Shellshock-kode indsat i felterne emne, fra, til og cc.
2) Herefter sendes mailen til en hvilken som helst sårbar SMTP-server.
3) Når en sårbar SMTP mail-server modtager den ondsindede mail, vil den indlejrede Shellshock-kode blive afviklet, og IRC bot'en downloades og afvikles. Herefter oprettes der forbindelse til en server.
4) Nu kan de kriminelle udføre forskellige handlinger med mail-serveren, eksempelvis at udsende spam-mails.
"Dette SMTP-angreb fremhæver endnu en platform til at angribe og udnytte Shellshock-sårbarheden," lyder det fra Trend Micro, der samtidig oplyser, at denne type angreb indtil videre er spottet i blandt andet Tyskland, Taiwan, USA og Canada.
Går efter bestemte servere og systemer
Samtidig skriver Informationweek, at et andet sikkerhedsfirma, SERT, har frigivet information, der viser, at de kriminelle har inkluderet Shellshock på listen over sårbarheder, man skal forsøge at udnytte - og at de første angreb fandt sted inden for 24 timer efter annonceringen af sårbarheden.
"Denne sårbarhed har accelereret den tidslinje, der typisk kan observeres, når en ny sårbarhed opdages," lyder det blandt andet.
Bash har eksisteret siden 1989 og er et meget udbredt værktøj i mange Linux/Unix-baserede systemer.
Selvom Shellshock altså umiddelbart er en trussel mod mange forskellige typer af systemer, vurderes det flere steder, at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gøre størst skade ved at udnytte sårbarheden.
"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtalte en chef fra Red Hat for nogen tid siden..
Læs også:
Derfor er Bash-sårbarheden kritisk: ‘Shellshock' kan ramme et hav af systemer
Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X
