Shellshock/Bug Bash: Ny alvorlig sårbarhed

Et nyopdaget sikkerhedshul giver travlhed rundt om i IT-afdelingerne. Det drejer sig om den meget omtalte Shellshock, der ud over det dramatiske navne også ligner den tidligere omtalte Heartbleed, ved at være yderst kristisk.
Sårbarheden er identificeret i koden, som anvendes i mange produkter, hvilket betyder, at rigtig mange systemer og produkter vil være sårbare.

I Heartbleed var det fejl i OpenSSL, som gav og nogle steder stadig giver mulighed for at læse information fra serveren.

Hos Shellshock er det en fejl i bash shell (cli), som giver mulighed for at afvikle kode og i yderst konsekvens overtage det system, der angribes.

Sårbarheden er registeret under: CVE-2014-6271 & CVE-2014-7169

Det er konstateret, at sårbarheden kan udnyttes via http, SSH og DHCP. Der er allerede flere eksempler på at sårbarheden benyttes i angreb.

Rigtig mange produkter er bygget oven på en sårbar Linux-kerne, hyppigt med et web interface – det kan være printer, network devices, applikationer, osv.

Konkrete og generelle anbefaling:

1) Patch – selvfølgelig. Patch når fix/opgradering er tilgængelige og kan installeres. Vær opmærksom på, at der kan gemme sig systemer og komponenter i netværket, som er sårbare.

2) Access Control – simple firewall-regler, således netværksadgang til systemer begrænses til dem/det, der har behov. Foretage en sikkerhedsmæssig segmentering af netværket.

3) IPS - en god måde at beskytte systemer, inden de kan patches, samt give en dybere indsigt i hvilke trusler dit netværk udsættes for eller indeholder.

4) Skanning – foretage skanning af netværket for at finde og identificere konkrete enheder, som er eller kan være sårbar.

Anvender du Check Point firewall, anbefaler vi at IPS aktiveres og sikre, at trafikken skannes for CVE-2014-6271 & CVE-2014-7169.