collombo
MyBoerse.bz Pro Member
21 Prozent aller Shellshock-Angriffe auf SMTP-Server hat Trend Micro in Deutschland entdeckt.
Hacker infizieren anfällige SMTP-Server und nutzen die kompromittierten E-Mail-Server für den Spam-Versand und DDoS-Angriffe.
Neue Angriffe auf die als Shellshock bezeichnete Bash-Lücke in Linux hat jetzt Trend Micro entdeckt.
Die Attacken richten sich gegen SMTP-Server. Insbesondere Deutschland, Kanada, Taiwan und die USA sind davon betroffen.
Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt.
Sie wird unter Linux, Unix und OS X verwendet.
Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen.
Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.
Im aktuellen Fall fügen die Angreifer einem Blogeintrag zufolge Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein.
Erreicht eine dieser Nachrichten einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der eingebettete Shellshock-Exploit ausgeführt.
Danach lädt ein Server einen IRC-Bot und führt ihn ebenfalls aus.
Der Bot stellt schließlich eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, verschiedene Aktionen auf dem SMTP-Server auszuführen.
Ein so kompromittierter Server lässt sich beispielsweise für den Versand von Spam-Nachrichten nutzen.
Als möglicherweise anfällig betrachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen.
Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen.
Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail.
Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.
Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert.
Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver.
Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.
21 Prozent der von Trend Micro analysierten Shellshock-Angriffe auf SMTP-Server betrafen Systeme in Deutschland.
Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada haben einen Anteil von 16 beziehungsweise 10 Prozent.
Trend Micro empfiehlt IT-Administratoren, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren.
Die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe seien bisher gering.
Hacker infizieren anfällige SMTP-Server und nutzen die kompromittierten E-Mail-Server für den Spam-Versand und DDoS-Angriffe.
Neue Angriffe auf die als Shellshock bezeichnete Bash-Lücke in Linux hat jetzt Trend Micro entdeckt.
Die Attacken richten sich gegen SMTP-Server. Insbesondere Deutschland, Kanada, Taiwan und die USA sind davon betroffen.
Die Sicherheitslücke in der Bourne-Again Shell (Bash) ist seit Ende September bekannt.
Sie wird unter Linux, Unix und OS X verwendet.
Der als kritisch eingestufte Fehler erlaubt es unter Umständen, aus der Ferne und ohne Authentifizierung Shell-Befehle auf einem Server auszuführen.
Aufgrund der hohen Verbreitung der Bourne-Again Shell wird die Schwachstelle auch mit der Open-SSL-Lücke Heartbleed verglichen.
Im aktuellen Fall fügen die Angreifer einem Blogeintrag zufolge Shellshock-Schadcode in die Felder Betreff, Absender, Empfänger und Kopie einer E-Mail ein.
Erreicht eine dieser Nachrichten einen anfälligen Server, auf dem das Simple Mail Transfer Protocol (SMTP) läuft, wird der eingebettete Shellshock-Exploit ausgeführt.
Danach lädt ein Server einen IRC-Bot und führt ihn ebenfalls aus.
Der Bot stellt schließlich eine Verbindung zu einem IRC-Server her, der es den Hackern erlaubt, verschiedene Aktionen auf dem SMTP-Server auszuführen.
Ein so kompromittierter Server lässt sich beispielsweise für den Versand von Spam-Nachrichten nutzen.
Als möglicherweise anfällig betrachtet Trend Micro Server, die den qmail Message Transfer Agent einsetzen.
Er sei unter bestimmten Umständen in der Lage, Bash-Befehle auszuführen.
Gleiches gelte für exim MTA vor der Version 4 und Postfix unter der Verwendung von procmail.
Zwar sei Postfix nicht anfällig für Shellshock, procmail könne jedoch Umgebungsvariablen verarbeiten und manipulierte Message-Header an andere Programme weiterleiten.
Der von den Angreifern verwendete IRC-Bot wurde in Perl programmiert.
Er verbindet sich über die Ports 666, 323 und 9999 mit einem Befehlsserver.
Trend Micro zufolge kann er nicht nur E-Mails verschicken und Dateien herunterladen, sondern auch Unix-Befehle ausführen, nach bestimmten Ports scannen und DDoS-Angriffe starten.
21 Prozent der von Trend Micro analysierten Shellshock-Angriffe auf SMTP-Server betrafen Systeme in Deutschland.
Der gleiche Anteil entfällt auf Taiwan. Server in den USA und Kanada haben einen Anteil von 16 beziehungsweise 10 Prozent.
Trend Micro empfiehlt IT-Administratoren, die von den Angreifern verwendeten IP-Adressen und Domains zu blockieren.
Die Zahl der betroffenen Länder sowie die Auswirkungen der Angriffe seien bisher gering.
