Eerste Shelshock-malware duikt op

Gisteren kwam het bestaan van de Shelshock-bug aan het licht. De bug is een lek in de Bash-shell van Linux en OS X. De Bash-shell is een opdrachtregelprogramma dat Windowsgebruikers nog het best kunnen vergelijken met de command-line of powershell. In de shell kan een gebruiker commando’s typen, die dan door het systeem geïnterpreteerd worden. De shell is echter wijdverspreid en geïntegreerd in heel wat toestellen, waaronder de webservers van webcams en routers.

Het lek in de Bash-shell laat hackers toe code te injecteren waardoor ze vanop afstand commando’s kunnen uitvoeren en apparaten kunnen overnemen. Beveiligingsprofessionals ontdekten nu dat hackers nog geen dag na de onthulling van het lek al hun best doen om systemen binnen te dringen. Ze stuitten op code die er duidelijk op gericht is de Shelshock-bug uit te buiten.

Naast code werd er ook een regelrechte aanval op de Bash-shell ontdekt. De malware die daarvoor gebruikt werd had meerdere functies aan boord, waaronder de mogelijkheid om DDoS-aanvallen uit te voeren en een hacktool die langs kwetsbare servers gaat en daar toegang probeert te krijgen met voor de hand liggende wachtwoorden.

Patch
Gelukkig is ook de verdediging bij de pinken. Red Hat bracht gisteren al een update uit die Shelshock gedeeltelijk onschadelijk maakt. De patch is echter ontoereikend, zodat de Bash-shell nog steeds kwetsbaar is. Ontwikkelaars zijn dan ook hard aan het werk om het lek volledig te dichten. Eenvoudig zal dat niet zijn, aangezien de Shell geïntegreerd is in veel toestellen die niet allemaal eenvoudig te updaten zijn.

Een inspanning is nodig: onderzoeker Robert Graham claimt dat al minstens 3000 systemen kwetsbaar zijn voor aanvallen. Dat getal is echter erg conservatief, geeft hij zelf toe. Een uitgebreidere scan zou volgens hem veel meer computers en geïntegreerde webservers met het lek aan het licht brengen. Vooral die laatste zijn erg kwetsbaar.