Shellshock: Trend Micro warnt vor Angriffen auf Mail-Server in Deutschland

Trend Micro hat neue Angriffe auf die als Shellshock bezeichnete Bash-Lücke in Linux entdeckt. Sie richten sich gegen SMTP-Server. Betroffen davon sind vor allem Deutschland, Kanada, Taiwan und die USA.

Die Angreifer fügen einem Blogeintrag zufolge Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein. Erreicht eine dieser Nachrichten einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der eingebettete Shellshock-Exploit ausgeführt. Danach lädt ein Server einen IRC-Bot und führt ihn ebenfalls aus. Der Bot stellt schließlich eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, verschiedene Aktionen auf dem SMTP-Server auszuführen. Ein so kompromittierter Server lässt sich beispielsweise für den Versand von Spam-Nachrichten nutzen.

Als möglicherweise anfällig betrachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen. Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen. Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail. Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.

Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert. Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver. Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.

21 Prozent der von Trend Micro analysierten Shellshock-Angriffe auf SMTP-Server betrafen Systeme in Deutschland. Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada haben einen Anteil von 16 beziehungsweise 10 Prozent.

Trend Micro empfiehlt IT-Administratoren, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren. Die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe seien bisher gering.

Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt. Sie wird unter Linux, Unix und OS X verwendet. Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen. Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.

21 Prozent aller Shellshock-Angriffe auf SMTP-Server hat Trend Micro in Deutschland entdeckt (Bild: Trend Micro).

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Studie: Ein Drittel aller E-Mails an Unternehmen sind unerwünscht

Der Cybersecurity Report von Hornetsecurity stuft 2,3 Prozent der Inhalte gar als bösartig ein. Die…

3 Tagen ago

HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Die Hintermänner haben es auf Zugangsdaten zu Microsoft Azure abgesehen. Die Kampagne ist bis mindestens…

4 Tagen ago

1. Januar 2025: Umstieg auf E-Rechnung im B2B-Geschäftsverkehr

Cloud-Plattform für elektronische Beschaffungsprozesse mit automatisierter Abwicklung elektronischer Rechnungen.

4 Tagen ago

Google schließt schwerwiegende Sicherheitslücken in Chrome 131

Mindestens eine Schwachstelle erlaubt eine Remotecodeausführung. Dem Entdecker zahlt Google eine besonders hohe Belohnung von…

4 Tagen ago

Erreichbarkeit im Weihnachtsurlaub weiterhin hoch

Nur rund die Hälfte schaltet während der Feiertage komplett vom Job ab. Die anderen sind…

4 Tagen ago

Hacker missbrauchen Google Calendar zum Angriff auf Postfächer

Security-Experten von Check Point sind einer neuen Angriffsart auf die Spur gekommen, die E-Mail-Schutzmaßnahmen umgehen…

5 Tagen ago