Shellshock, sårbarheten i kommandotolken bash som ble offentlig kjent denne uken, blir allerede utnyttet av ondsinnede. Dette forteller blant annet AlienVault Labs til Threatpost.

AlienVault skal ha ved hjelp av en «honningkrukke» ha lokket til seg to ulike skadevarer som forsøker å utnytte sårbarheten. Den ene skal være en ombygd IRC-bot skrevet i Perl. Denne forsøker å bygge et botnet som kan brukes til å utføre DDoS-angrep. Koden til skadevaren inneholder uttrykk på rumensk.

Den andre skadevaren laster ned og kjører et bibliotek som både stjeler informasjon på systemet og fungerer som en DDoS-bot.

Ormer
Begge de to skadevarene skal ha dataormlignende egenskaper, ved at de søker etter andre, sårbare enheter og spres videre til disse ved hjelp av metoder som ikke enkelt kan sperres ved hjelp av en brannmur. Port 80, som brukes av vanlig webtrafikk (HTTP), er et eksempel på dette.

Allerede onsdag denne uken skrev sikkerhetsforskeren Robert Graham at Shellshock-sårbarheten har egenskaper som er «wormable».

Graham er blant dem som har publisert et enkelt konseptbevis for utnyttelse av Shellshock. Angriperne som står bak den ene ormen skal i stor grad ha brukt dette konseptbeviset. Ifølge Wired inneholder koden til ormen en hilsen til Graham, «Thanks-Rob».

Fordi bash er installert på svært mange systemer, og dessuten brukes av mye programvare som kjøres på mange av disse systemene, er det svært vanskelig å danne seg en oversikt angrepsvektorene som kan brukes av ondsinnede for å utnytte Shellshock-sårbarheten. Blant enhetene som kan være spesielt utsatt, er bredbåndsrutere hjemme hos helt vanlige internett-brukere. Mange av disse vil aldri oppdatere programvaren i ruterne, rett og slett fordi de ikke vet at de bør gjøre det, og dessuten ikke vet hvordan dette eventuelt kan gjøres.

Here’s a game.
It’s for Bash.
It’s called Shellshock.
It’s from 2012.
http://t.co/0LD3fZjJRw

— Mikko Hypponen (@mikko) September 26, 2014

Synspunkter
Avsløringen av Shellshock, som forøvrig også er navnet på et spill for bash fra 2012 (se tvitringen fra Mikko Hypponen ovenfor), har også understreket at sårbarheter kan eksistere i programvare i flere tiår, uten å bli oppdaget. Selv om bash er svært mye brukt, også av giganter som Amazon og Google, og at koden hele tiden har vært åpen for innsyn, siden det tross alt dreier seg om fri programvare, så har sårbarheten ikke blitt oppdaget i løpet av de mer enn 20 årene som har gått siden den ble skrevet.

En teori som taler til fordel for åpen kildekode er at det at «mange øyne» kan se over koden og dermed raskere oppdage sårbarheter enn det som er mulig dersom bare få personer har denne muligheten. Nevnte Graham skriver i et blogginnlegg at denne teorien nå er motbevist – ikke fordi det ikke vil kunne oppdages flere sårbarheter når mange studerer koden, men fordi det i virkeligheten ikke er slik at mange studerer programvarekoden. Det mener i alle fall Graham, som begrunner dette med at sårbarheter som Shellshock og Heartbleed ville ha blitt oppdaget for lenge siden, dersom mange faktisk lette etter slike feil.

Programvareutvikleren Poul-Henning Kamp, som er mest kjent for å stå bak programvare som Varnish og md5crypt, samt viktige bidrag til FreeBSD, skriver i en kommentar i danske Version2 at funksjonaliteten som gjør Shellshock mulig, kan sammenlignes med SQL-injisering og autorun.inf i Windows.

– Alle de tre tingene baserer seg på den samme fundamentale hjerneblødningen: Å eksekvere data som kode uten å ha blitt bedt om det, skriver Kamp.