Als vor einigen Wochen schwerwiegende Lücken in der Unix-Shell Bash bekannt wurden, war schnell klar: Dieses Problem wird die IT-Sicherheit noch länger beschäftigen. Findet die Bash doch in einer Fülle von Produkten seinen Einsatz, die nur selten oder sogar nie ein Update erhalten.

NAS

Eine Einschätzung, die sich nun als richtig herausstellt: Kursiert doch zur Zeit ein neuer Wurm, der es auf ungepatchte Netzwerkspeicher abgesehen hat, wie das Sans Institute warnt. Konkret geht es dabei um die Geräte taiwanesischen Herstellers QNAP. Dieser hatte zwar bereits im Oktober ein entsprechendes Update veröffentlicht, offenbar wurde dies aber von vielen Nutzern noch nicht eingespielt.

Ablauf

Der Einbruch erfolgt über ein CGI-Skript, bei dessen Absicherung der Hersteller schwer gepatzt hat. Lässt es sich doch ohne Authentifizierung von außen aufrufen, so können Angreifer auf diesem Weg die Shellshock-Lücke auslösen und in Folge eigenen Schadcode einbringen.

Backdoor

Einmal übernommen wird ein dauerhaftes Backdoor eingerichtet, über welches das NAS dann von außen per SSH ferngesteuert werden kann. Im nächsten Schritt schließt die Malware die Shellshock-Lücke, wohl um konkurrierende Schadsoftware von einem Eindringen abzuhalten. Primäre Aufgabe der Malware scheint derzeit der Click-Betrug in einem Werbenetzwerk zu sein. (red, derStandard.at, 16.12.2014)