image

Bash-lek actief aangevallen door DDoS-bot

donderdag 25 september 2014, 12:38 door Redactie, 1 reacties
Laatst bijgewerkt: 25-09-2014, 13:26

Cybercriminelen maken al actief gebruik van het gisteren onthulde Bash-lek om computers aan te vallen waarbij wordt geprobeerd om een DDoS-bot te installeren, zo melden onderzoekers. Via de kwetsbaarheid kan een aanvaller in bepaalde gevallen op afstand willekeurige code op systemen uitvoeren.

Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven en is op Unix-gebaseerde besturingssystemen zoals Linux en Mac OS X aanwezig. Ondanks dat het lek zeer veel systemen raakt, kan het in de meeste gevallen niet op afstand worden aangevallen, zo stelt Jen Ellis van beveiligingsbedrijf Rapid 7. Ellis verwacht dat waarschijnlijke oude webapplicaties die standaard CGI gebruiken het voornaamste doelwit zullen worden. "Deze bug zal een onbekend aantal producten raken, maar de omstandigheden om er op afstand misbruik van te maken zijn redelijk bijzonder", aldus de expert.

Dat neemt niet weg dat er inmiddels al wel aanvallen zijn gesignaleerd. Beveiligingsonderzoeker "Yinette" ontdekte een poging waarbij er werd geprobeerd om via het Bash-lek, dat ook wel Shellshock wordt genoemd, binnen te dringen. Uit informatie op GitHub over de malware blijkt dat het om een kernel-exploit met Command & Control-onderdeel gaat, die systemen voor het uitvoeren van DDoS-aanvallen kan inzetten.

Inmiddels wordt er hard aan een patch voor het probleem gewerkt. Een eerdere update die uitkwam bleek namelijk niet helemaal te werken, zo ontdekte beveiligingsonderzoeker Tavis Ormandy. Wat betreft de bug zelf gaat het volgens onderzoeker Michael Zalewski om een zeer ongewone bug in een zeer obscure feature van een programma waar onderzoekers eigenlijk niet naar kijken. "Juist omdat niemand verwacht dat het op deze manier zou falen."

Reacties (1)
25-09-2014, 14:13 door Anoniem
Die opmerking van Michael Zalewski slaat als een tang op een varken. Bij een code-review kijk je naar mogelijkheden voor input en output, vervolgens kijk je of daar passende maatregelen zijn getroffen om foute input te voorkomen. De maatregel "we verwachten niet dat iemand die kan misbruiken" is geen oplossing. Het komt meer neer op niet weten hoe de systemen precies werken en programmas van elkaar afhankelijk zijn als hier iemand heeft gedacht "we verwachten niet dat iemand dit kan misbruiken". Al je invoer controleer je en maak je schoon! punt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.