Trend Micro hat neue Angriffe auf die als Shellshock bezeichnete Bash-Lücke in Linux entdeckt. Sie richten sich gegen SMTP-Server. Betroffen davon sind vor allem Deutschland, Kanada, Taiwan und die USA.
Als möglicherweise anfällig betrachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen. Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen. Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail. Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.
Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.
21 Prozent der von Trend Micro analysierten Shellshock-Angriffe auf SMTP-Server betrafen Systeme in Deutschland. Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada haben einen Anteil von 16 beziehungsweise 10 Prozent.
Trend Micro empfiehlt IT-Administratoren, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren. Die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe seien bisher gering.
Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt. Sie wird unter Linux, Unix und OS X verwendet. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…
Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.
2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…
Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…
NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.
Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.