Shellshock: Statsligt it-system stod pivåbent efter advarsler

Trods tidlige advarsler i sikkerhedskredse om den kritiske Shellshock-sårbarhed kunne den fire dage senere stadig udnyttes til at få adgang til mainframes hos IBM og CSC ifølge it-sikkerhedsekspert.

Da medier verden over breakede nyheden om det kritiske Shellshock-hul i Unix-lignende systemer onsdag 24. september i sidste uge, var sårbarheden kendt i sikkerhedskredse flere dage i forvejen.

Så da nyheden kom ud, var der således allerede opdateringer klar til flere af de ramte systemer.

Alligevel var det ifølge it-sikkerhedseksperten Peter Kruse fra CSIS stadig muligt at få adgang til aktive mainframes i statens it-systemer fra to af it-leverandørerne IBM og CSC så sent som lørdag 27. september i sidste uge ved at udnytte Shellshock-sårbarheden. Peter Kruse opdagede hullet ved selv at teste sårbarheden af på de to virksomheders mainframes, der begge kører på det Unix-lignende styresystem z/OS - dog uden at gennemføre 'angrebet'.

»Det her er ultrakritisk - man efterlader statskritiske systemer sårbare. Det burde allerede være fikset, inden den officielle advarsel kom ud. Det er for dårligt, når vi sætter millioner af kroner af til forsvar af private data,« siger han til Version2 og påpeger, at der har været tale om et generelt sikkerhedshul i z/OS.

For my Danish followers: det er efterhånden trivielt og uden mål - men mainframes hos CSC og IBM har shellshock svagheder mod WAN — peterkruse (@peterkruse) September 27, 2014

Shellshock, der betegnes som ‘superkritisk’ af den danske it-sikkerhedsvirksomhed CSIS, udnytter en sårbarhed i den terminalbaserede kommandofortolker Bash, der gør det muligt for udefrakommende på helt enkel vis at afvikle kommandoer på systemet.

CSC står blandt andet for it-systemet bag politiets kørekortregister med oplysninger om borgernes cpr-numre. Det er dog uklart, om dette system har været udsat for sårbarheden.

Peter Kruse kan af sikkerhedsmæssige årsager ikke oplyse præcis, hvilke af statens it-systemer der stod åbne flere dage efter, at de officielle advarsler kom ud.

Styresystem manglede patch

Det kræver ikke mange hackerkundskaber for at udnytte Shellshock-sårbarheden ifølge Peter Kruse.

»Der er færdigbygget kode derude, som du bare kan bruge. Alle - selv otteårige - ville kunne udføre det her angreb, det er virkelig banalt,« siger han.

Selvom det kan tage længere tid at patche større systemer som i de omtalte mainframes, burde både CSC og IBM have gjort et bedre arbejde for tidligere at inddæmme hackernes muligheder for at udnytte sårbarheden ifølge Peter Kruse.

»Det første, man bør gøre, er at forhindre åben adgang ind mod sårbarheden via firewall- og routerregler, så det i hvert fald ikke er det globale internet, som har adgang til sårbarheden,« siger han og fortsætter:

»Den her sårbarhed er det perfekte våben, for det er så let for hackerne at camouflere det, så de kan i princippet nappe alle de oplysninger, de har behov for, og så ved vi det først alt for sent.«

IBM har nu patched de pågældende systemer, oplyser virksomhedens kommunikationschef, Benedichte Strøm:

»IBM blev opmærksom på en sårbarhed, som potentielt kunne udnyttes og skabte og distribuerede derfor patches, der eliminerede problemet. For at udelukke utilsigtet hjælp til eventuelle hackere ønsker IBM ikke offentligt at diskutere detaljer, der involverer en sikkerhedsrisiko for eventuelle IBM-systemer,« skriver hun i en mail til Version2.

Version2 har også bedt CSC om at kommentere på sårbarheden i dens mainframe, men har endnu ikke fået svar.

For my Dansh followers: På trods af forsøg på at få folk i tale, er det #fail. Vi er "sitting ducks" :-( pic.twitter.com/xhT4gjPT3d — peterkruse (@peterkruse) September 27, 2014

Opdateret den 30.09.2014