Shellshock: Trend Micro warnt vor Angriffen auf Mail-Server in Deutschland

Trend Micro hat neue Angriffe auf die als Shellshock bezeichnete Bash-Lücke in Linux entdeckt. Sie richten sich gegen SMTP-Server. Betroffen davon sind vor allem Deutschland, Kanada, Taiwan und die USA.

Die Angreifer fügen einem Blogeintrag zufolge Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein. Erreicht eine dieser Nachrichten einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der eingebettete Shellshock-Exploit ausgeführt. Danach lädt ein Server einen IRC-Bot und führt ihn ebenfalls aus. Der Bot stellt schließlich eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, verschiedene Aktionen auf dem SMTP-Server auszuführen. Ein so kompromittierter Server lässt sich beispielsweise für den Versand von Spam-Nachrichten nutzen.

Als möglicherweise anfällig betrachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen. Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen. Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail. Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.

Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.

21 Prozent der von Trend Micro analysierten Shellshock-Angriffe auf SMTP-Server betrafen Systeme in Deutschland. Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada haben einen Anteil von 16 beziehungsweise 10 Prozent.

Trend Micro empfiehlt IT-Administratoren, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren. Die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe seien bisher gering.

Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt. Sie wird unter Linux, Unix und OS X verwendet. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de