Shellshock: Trend Micro warnt vor Angriffen auf Mail-Server in Deutschland

Trend Micro hat neue Angriffe auf die als Shellshock bezeichnete Bash-Lücke in Linux entdeckt. Sie richten sich gegen SMTP-Server. Betroffen davon sind vor allem Deutschland, Kanada, Taiwan und die USA.

Die Angreifer fügen einem Blogeintrag zufolge Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein. Erreicht eine dieser Nachrichten einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der eingebettete Shellshock-Exploit ausgeführt. Danach lädt ein Server einen IRC-Bot und führt ihn ebenfalls aus. Der Bot stellt schließlich eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, verschiedene Aktionen auf dem SMTP-Server auszuführen. Ein so kompromittierter Server lässt sich beispielsweise für den Versand von Spam-Nachrichten nutzen.

Als möglicherweise anfällig betrachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen. Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen. Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail. Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.

Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.

21 Prozent der von Trend Micro analysierten Shellshock-Angriffe auf SMTP-Server betrafen Systeme in Deutschland. Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada haben einen Anteil von 16 beziehungsweise 10 Prozent.

Trend Micro empfiehlt IT-Administratoren, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren. Die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe seien bisher gering.

Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt. Sie wird unter Linux, Unix und OS X verwendet. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.

21 Prozent aller Shellshock-Angriffe auf SMTP-Server hat Trend Micro in Deutschland entdeckt (Bild: Trend Micro).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

9 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

13 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

13 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

14 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

14 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

16 Stunden ago