Die Angriffe über die als "Shellshock" bekannt gewordene Sicherheitslücke halten an. Trend Micro hat Attacken auf Mailserver weltweit analysiert. 21 Prozent davon finden auf SMTP-Server in Deutschland statt. [...]
Nur noch in Taiwan werden im Augenblick mehr Mailserver angegriffen, während die USA mit 16 Prozent Platz 3 dieser unrühmlichen Rangliste belegen. Trend Micro ruft deshalb die Betreiber von Mailservern in Deutschland dringend dazu auf, ihre Systeme auf Angreifbarkeit hin zu prüfen und die IP-Adressen, die im Zusammenhang mit diesen Angriffen stehen, zu blocken.
Der Angriff beginnt mit der Zusendung von E-Mail-Nachrichten, die Shellshock-Code enthalten. Dieser ist in die Felder „Von“, „An“, „CC“ und „Betreff“ eingefügt. Ist der SMTP-Server, an den eine solche Nachricht geschickt wird, angreifbar, wird der eingebettete Schadcode ausgeführt. Dieser löst das Herunterladen eines IRC-Bots aus und löscht sich anschließend selbst, um unentdeckt zu bleiben. Der IRC-Bot wiederum stellt eine Verbindung zu einem IRC-Server her, über die Angreifer auf dem Mailserver verschiedene Befehle ausführen wie zum Beispiel eine Spam-Kampagne, Denial-of-Service (DDoS)-Angriffe, Portscans oder Unix-Befehle starten können.
Betroffen sind die folgenden Mail-Serverumgebungen: qmail Message Tansfer Agent (MTA), exim MTA in früheren Versionen als 4 sowie Postfix MTA mit procmail inklusive Debian/Ubuntu Postfix. Weitere Informationen zu dem Shellshock-Angriff stehen im deutschsprachigen Trend Micro-Blog zur Verfügung. (pi)
Be the first to comment