Shellshock: Trend Micro warnt vor Angriffen auf Mail-Server in Deutschland

Trend Micro hat neue Angriffe auf die als Shellshock bezeichnete Bash-Lücke in Linux entdeckt. Sie richten sich gegen SMTP-Server. Betroffen davon sind vor allem Deutschland, Kanada, Taiwan und die USA.

Die Angreifer fügen einem Blogeintrag zufolge Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein. Erreicht eine dieser Nachrichten einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der eingebettete Shellshock-Exploit ausgeführt. Danach lädt ein Server einen IRC-Bot und führt ihn ebenfalls aus. Der Bot stellt schließlich eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, verschiedene Aktionen auf dem SMTP-Server auszuführen. Ein so kompromittierter Server lässt sich beispielsweise für den Versand von Spam-Nachrichten nutzen.

Als möglicherweise anfällig betrachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen. Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen. Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail. Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.

Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.

21 Prozent der von Trend Micro analysierten Shellshock-Angriffe auf SMTP-Server betrafen Systeme in Deutschland. Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada haben einen Anteil von 16 beziehungsweise 10 Prozent.

Trend Micro empfiehlt IT-Administratoren, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren. Die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe seien bisher gering.

Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt. Sie wird unter Linux, Unix und OS X verwendet. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.

21 Prozent aller Shellshock-Angriffe auf SMTP-Server hat Trend Micro in Deutschland entdeckt (Bild: Trend Micro).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

4 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

10 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago