26.09.2014, 11:11 Uhr
Shellshock sorgt für Open-Source-Debatten
Einen Tag nach der ersten Aufregung zum Shellshock-Bug ist wieder Nüchternheit eingekehrt. In den Foren wird angeregt über Open Source Sicherheit diskutiert
Heutzutage bekommt jede Sicherheitslücke eine eigenes Logo: Shellshock.
Die Sachlage ist klar: In der Linux-Shell Bash existiert eine Sicherheitslücke. Und zwar seit rund zwei Jahrzenten. 1989 wurde die erste Version von Bash (0.99) initialisiert. Wann genau die angreifbare Version 1.13 in Umlauf kam, ist nicht ganz klar, jedoch hat der Sicherheitsexperte Robert Graham in einem Blogbeitrag darauf aufmerksam gemacht, dass er schon vor 20 Jahren mit dieser Sicherheitslücke konfrontiert wurde. Bash gehört inzwischen zu den Standard-Shells auf Unix-basierten Systemen.
Wie Heise schreibt, soll der erste Patch das Loch nicht komplett stopfen, Red Hat arbeitet fieberhaft an einem neuen Flicken. Das Ausmass des Shellshock scheint jedoch nicht so gravierend zu sein, wie dazumal beim Heartbleed-Exploit. So hat Robert Graham in einem ersten gross angelegtem Scan nur ein paar tausend Systeme gefunden, die auf die Anforderungen positiv reagierten. Vermutlich werden es mehr sein, soll doch das verwendete Skript einen Fehler enthalten haben. Aber im Gegensatz zum Skript zum Aufstöbern der Heartbleed-Lücke, welches hunderttausende von potenziell gefährdeten Rechnern anzeigte, ist das doch eine eher bescheidene Zahl.
Das hat wohl auch damit zu tun, dass sich moderne Web-Frameworks von CGI verabschiedet haben. Wie schon gestern an dieser Stelle erwhnt, gehört die System-Kompromittierung via CGI-Befehlen zu den gefährlichsten Angriffvektoren. Auch scheint nur eine ältere Version von CGI tatsächlich betroffen zu sein. Das schränkt doch diesen Vektor von der Breite her entschieden ein.
Trotzdem, die Lücke ist gravierend. Es erlaubt einem Angreifer sofort die komplette Kontrolle über einen Server zu übernehmen, um zum Beispiel einen Wurm zu platzieren der sich dann weiterverbreitet.
Wie Heise schreibt, soll der erste Patch das Loch nicht komplett stopfen, Red Hat arbeitet fieberhaft an einem neuen Flicken. Das Ausmass des Shellshock scheint jedoch nicht so gravierend zu sein, wie dazumal beim Heartbleed-Exploit. So hat Robert Graham in einem ersten gross angelegtem Scan nur ein paar tausend Systeme gefunden, die auf die Anforderungen positiv reagierten. Vermutlich werden es mehr sein, soll doch das verwendete Skript einen Fehler enthalten haben. Aber im Gegensatz zum Skript zum Aufstöbern der Heartbleed-Lücke, welches hunderttausende von potenziell gefährdeten Rechnern anzeigte, ist das doch eine eher bescheidene Zahl.
Das hat wohl auch damit zu tun, dass sich moderne Web-Frameworks von CGI verabschiedet haben. Wie schon gestern an dieser Stelle erwhnt, gehört die System-Kompromittierung via CGI-Befehlen zu den gefährlichsten Angriffvektoren. Auch scheint nur eine ältere Version von CGI tatsächlich betroffen zu sein. Das schränkt doch diesen Vektor von der Breite her entschieden ein.
Trotzdem, die Lücke ist gravierend. Es erlaubt einem Angreifer sofort die komplette Kontrolle über einen Server zu übernehmen, um zum Beispiel einen Wurm zu platzieren der sich dann weiterverbreitet.
Embedded Linux scheint sicher, Industriesoftware verwundbar
Auch wurde inzwischen bekannt, dass vermutlich die meisten Embedded Linux Systeme zum Beispiel auf Routern, NAS oder Druckern nicht verwundbar sind, da diese vornehmlich auf die Shell Busybox und nicht Bash zurückgreifen. Das ist eine gute Nachricht. Die schlechte Nachricht ist, dass Industrieanlagen mit SCADA- und ICS-Systemen oft Bash einsetzen. Zwar sind viele Industriesysteme vom Internet abgeriegelt. Aber wie das Beispiel von Stuxnet zeigt, ist es via sehr gezielten Attacken möglich, Schaden anzurichten. Das Problem bei den SCADA-Systemen ist, dass Updates in der Regel nicht sofort geliefert werden - wenn überhaupt.
Debatte über Open Source Sicherheit
Natürlich kommen bei solchen Lücken die Verfechter von Open Source Lösungen unter Druck. In den Online-Kommentaren wird hitzig darüber diskutiert, ob nicht Closed Source Anbieter, die über mehr Manpower besitzen, eine Software zu entwickeln, im Vorteil sind. In der Tat: Eine solche gravierende Lücke wurde zum Beispiel unter Windows seit Jahren nicht mehr entdeckt oder zumindest öffentlich verhandelt. Trotzdem - sogleich die Sicherheit von Open Source Betriebssystemen grundsätzlich in Frage zu stellen, scheint diesbezüglich nicht angebracht. Denn es braucht doch eine ziemliche Vernachlässigung der IT-Systeme um den Angreifer Tür und Tor zu öffnen. Wer im Jahr 2014 noch veraltete CGI-Software einsetzt, müsste sich einmal grundsätzlich Gedanken zu seiner IT-Infrastruktur oder zur eingesetzten Software machen. Der Sicherheitsexperte Bruce Schneier meint dazu auch in seinem Blog, dass er gerne Zahlen sehen möchten, die belegen, dass die Sicherheitslücken in Open Source Software in der letzten Zeit zugenommen haben.
