Shellshock: Statsligt it-system stod pivåbent efter advarsler

Trods tidlige advarsler i sikkerhedskredse om den kritiske Shellshock-sårbarhed kunne den fire dage senere stadig udnyttes til at få adgang til mainframes hos IBM og CSC ifølge it-sikkerhedsekspert.

Da medier verden over breakede nyheden om det kritiske Shellshock-hul i Unix-lignende systemer onsdag 24. september i sidste uge, var sårbarheden kendt i sikkerhedskredse flere dage i forvejen.

Så da nyheden kom ud, var der således allerede opdateringer klar til flere af de ramte systemer.

Læs også: Shellshock: Linux- og Mac-systemer ramt af omfattende og alvorlig sårbarhed

Alligevel var det ifølge it-sikkerhedseksperten Peter Kruse fra CSIS stadig muligt at få adgang til aktive mainframes i statens it-systemer fra to af it-leverandørerne IBM og CSC så sent som lørdag 27. september i sidste uge ved at udnytte Shellshock-sårbarheden. Peter Kruse opdagede hullet ved selv at teste sårbarheden af på de to virksomheders mainframes, der begge kører på det Unix-lignende styresystem z/OS - dog uden at gennemføre 'angrebet'.

»Det her er ultrakritisk - man efterlader statskritiske systemer sårbare. Det burde allerede være fikset, inden den officielle advarsel kom ud. Det er for dårligt, når vi sætter millioner af kroner af til forsvar af private data,« siger han til Version2 og påpeger, at der har været tale om et generelt sikkerhedshul i z/OS.

Shellshock, der betegnes som ‘superkritisk’ af den danske it-sikkerhedsvirksomhed CSIS, udnytter en sårbarhed i den terminalbaserede kommandofortolker Bash, der gør det muligt for udefrakommende på helt enkel vis at afvikle kommandoer på systemet.

CSC står blandt andet for it-systemet bag politiets kørekortregister med oplysninger om borgernes cpr-numre. Det er dog uklart, om dette system har været udsat for sårbarheden.

Peter Kruse kan af sikkerhedsmæssige årsager ikke oplyse præcis, hvilke af statens it-systemer der stod åbne flere dage efter, at de officielle advarsler kom ud.

Styresystem manglede patch

Det kræver ikke mange hackerkundskaber for at udnytte Shellshock-sårbarheden ifølge Peter Kruse.

»Der er færdigbygget kode derude, som du bare kan bruge. Alle - selv otteårige - ville kunne udføre det her angreb, det er virkelig banalt,« siger han.

Selvom det kan tage længere tid at patche større systemer som i de omtalte mainframes, burde både CSC og IBM have gjort et bedre arbejde for tidligere at inddæmme hackernes muligheder for at udnytte sårbarheden ifølge Peter Kruse.

»Det første, man bør gøre, er at forhindre åben adgang ind mod sårbarheden via firewall- og routerregler, så det i hvert fald ikke er det globale internet, som har adgang til sårbarheden,« siger han og fortsætter:

»Den her sårbarhed er det perfekte våben, for det er så let for hackerne at camouflere det, så de kan i princippet nappe alle de oplysninger, de har behov for, og så ved vi det først alt for sent.«

IBM har nu patched de pågældende systemer, oplyser virksomhedens kommunikationschef, Benedichte Strøm:

»IBM blev opmærksom på en sårbarhed, som potentielt kunne udnyttes og skabte og distribuerede derfor patches, der eliminerede problemet. For at udelukke utilsigtet hjælp til eventuelle hackere ønsker IBM ikke offentligt at diskutere detaljer, der involverer en sikkerhedsrisiko for eventuelle IBM-systemer,« skriver hun i en mail til Version2.

Version2 har også bedt CSC om at kommentere på sårbarheden i dens mainframe, men har endnu ikke fået svar.

Opdateret den 30.09.2014

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper Louis Andersen

Teknisk set ja. z/OS har vistnok USS (UNIX System Services) som en required komponent. Det er fordi du skal have Java på z/OS og det er relativt POSIX-compliant. OMVS (OpenEdition MVS) er dens shell, og der ligner stort set enhver standard UNIX shell.

Hvis det ikke er UNIX fordi det skal stamme fra AT&T, så er Linux heller ikke UNIX:

  • 4
  • 1
Jesper Louis Andersen

Defense in depth. Ingen sætter deres sikkerhedskritiske systemer direkte på internettet. Du har en skal af "løgringe" og for at bryde ind skal alle skaller være brudt sammen. Derudover overvejer du hvor stor en grænseflade dit system skal have. Når du finder på at bash skal i spil som en komponent i et system så har du i princippet fejlet.

FreeBSD gik fri denne gang fordi bash ikke er en default-komponent. Det er den type mentalitet du godt vil have i spil.

  • 8
  • 1
Lars Lundin

FreeBSD gik fri denne gang fordi bash ikke er en default-komponent.

Det samme kan vel siges om Debian(-baseret) Linux, som ikke lænker /bin/sh til bash, eller hvad?

Forresten så startes /bin/sh jo af C's system(), som også kan kaldes fra f.eks. perl (som dog (naturligvis) er non-standard og kun starter /bin/sh når der er brug for det) og python - og sikkert også andre sprog, fortolkede eller oversatte.

Så der må da være rigeligt med muligheder for misbrug af en upatchet bash.

  • 1
  • 0
Christian Nobel

"Peter Kruse opdagede hullet ved selv at teste sårbarheden af på de to virksomheders mainframes, der begge kører på det Unix-lignende styresystem z/OS - dog uden at gennemføre 'angrebet'."

Jamen dog, så står han jo ifølge Anders Riisager's logik til 6 års fængsel.

  • 16
  • 0
Brian Hansen

Ja jeg undrer mig faktisk over han tør stå ved det. Ville ikke undre mig at han bliver arresteret i løbet af ugen, for at påpege deres inkompetence. Igen.
Personligt havde jeg nok lavet et anonymt opslag på pastebin. Eller 4chan. Alt efter hvilket humør jeg lige var i....

  • 5
  • 0
Mikael Ibsen

at afsløre et systems svagheder. Og i dette tilfælde særligt slemt, fordi det er imod statens interesse, at det sker.

Hvad med vores tillid til systemet ? Er det ikke det allervigtigste i et samfund, at man har tillid til sine ledere, og de systemer de opbygger til alles bedste, og ikke pludselig tvivler og sætter spørgsmålstegn ved al den godhed, vi mødes med ?

Det er da kun skarnspersoner, der overhovedet bare kan tænke på, om det kære system ikke er perfekt. Og så ligefrem at afprøve det - det er langt over stregen !

Nej, den slags personer og aktiviteter har vi ikke brug for i vort kære Danmark, hvor alt jo er, som det skal være, så længe men ikke begynder på unødige og skadelige bagholdsangreb på vores grundlæggende værdier - og de store hæderskronede firmaers troværdighed.

Føj !

(Skulle der snige sig lidt tvivl om min seriøsitet ind, er jeg ikke uden forståelse...)

  • 9
  • 0
Thomas Hedberg

Sådan umiddelbart ligner det at default shell på z/OS Unix System Services er tsch og ikke bash - faktisk er bash slet ikke listet på IBM's side om z/OS Unix System Services.

http://www-03.ibm.com/systems/z/os/zos/features/unix/

Dog har firmaet Rocket Software lavet en portering, men sidste version de har liggende er 4.2.

http://www.rocketsoftware.com/rocket-ported-tools-zos

  • 0
  • 0
Log ind eller Opret konto for at kommentere