Hebt u alles Heartbleed-proof gemaakt? Mooi. Dan heeft u tijd voor de het volgende security-risico: Shellshock. En ook deze bug scoort een 10 op de schaal van potentiële negatieve impact.
Gisteren maakte Red Hat bekend dat er een bug zit in de Bash-shell van OS X en Linux genaamd Shellshock. Het beveiligingslek maakt het voor aanvallers mogelijk om op afstand code uit te voeren en Linux of OS X-apparaten over te nemen. In de praktijk betekent dit dat talloze servers, websites, PC's, Macs en zelfs privé-routers gevaar lopen.
Nou denkt u misschien: "wij lopen geen risico", maar weet u dat wel zeker? Er zijn namelijk nog wel wat mythes in omloop.
# Mythe 1 - Wij zijn veilig want we draaien op Microsoft
Voor alle ict-managers en beheerders die nu denken dat ze veilig zijn omdat de organisatie op Microsoft Windows draait: "Think again.". Uw kantoorautomatisering zal wellicht veilig op Windows Server draaien, maar het hele internet draait op Linux. Grote kans dat uw webapplicaties ergens op een Linux-server draaien of dat u werkt met SaaS-applicaties die dat doen.
# Mythe 2 - Wij zijn veilig want we draaien een goede configuratie op onze Linux-servers
Helaas zijn er nog veel organisaties die hun servers niet met de juiste kennis van zaken hebben ingericht. Deze aangepaste configuraties maken het mogelijk voor de hackers om in de root te opereren. Dat betekent dat er op het diepste niveau applicaties kunnen worden gerund en aanpassingen kunnen worden gedaan. Als u een goede configuratie draait zal de hacker in eerste instantie alleen toegang krijgen op gebruikersniveau. Met die rechten is het lastiger om schade aan te brengen, maar vergis u niet. Een goede hacker komt hier voorbij. Het kost slechts wat meer tijd.
# Mythe 3 - Wij zijn veilig want een serieuze hacker komt niet achter ons aan
Hoewel de Shellshock-hack nog maar kort bekend is, stijgt het aantal mensen dat er misbruik van kan maken snel. Hoewel de impact door veel security experts als hoog wordt beoordeeld, beoordeelt men de complexiteit als laag. Dit heeft te maken met de eenvoud waarmee de hack te doen is. Het gaat om simpele code die op veel plekken geïnjecteerd kan worden.
Ik snap de impact. Wat moet ik doen?
- Goed kijken waar de bug allemaal op kan treden (denk hierbij vooral aan devices en servers die al jaren niet meer worden onderhouden). Wij zien bij veel klanten dat ze niet meer weten wat er allemaal aan hardware in gebruik is. Dit is een risico dat adequaat getackeld moet worden. Draai bijvoorbeeld een hardware scan.
- Uw Linux-server moet gepatcht worden. Let hierbij goed op welke patch u draait: de eerste patch die werd gereleased bleek geen volledige oplossing te zijn.
Help! Ik heb de kennis niet in huis.
Geen probleem. Wij helpen graag. Onze mensen hebben de bug vannacht al op onze eigen servers gepatcht. Vanmorgen om 9 uur was alles achter de rug. Als u hulp nodig heeft met uw scan of het patchen. Neem dan gerust contact op.