Shellshock-Angriffe sind wieder auf dem Vormarsch – was Sie jetzt wissen müssen

Die Shellshock-Schwachstelle (CVE-2014-6271) wurde 2014 in der Unix-Shell Bash entdeckt und galt damals als eine der gefährlichsten Sicherheitslücken überhaupt. Über zehn Jahre später zeigen aktuelle Analysen: Shellshock-Angriffe nehmen wieder zu — und treffen Organisationen, die alte Systemkomponenten nicht aus ihrem Bestand entfernt haben.

Was Shellshock ermöglicht

Shellshock erlaubt Angreifern, beliebigen Code über manipulierte Umgebungsvariablen einzuschleusen, wenn Bash-Skripte in CGI-Anwendungen, SSH-ForceCommand-Konfigurationen oder DHCP-Client-Hooks verwendet werden. Ein einzelner präparierter HTTP-Request an einen verwundbaren Webserver genügt, um Befehle mit den Rechten des Webservers auszuführen.

Die Schwachstelle betrifft alle Bash-Versionen bis 4.3. Patches wurden 2014 veröffentlicht. Dass die Schwachstelle ein Jahrzehnt später noch aktiv ausgenutzt wird, liegt an einem systematischen Problem: Legacy-Systeme, die niemand patcht, weil niemand weiß, dass sie noch laufen.

Warum Shellshock 2025 noch relevant ist

Laut einer Analyse von Barracuda aus dem Jahr 2024 gehört Shellshock weiterhin zu den am häufigsten gescannten und ausgenutzten Schwachstellen im Web. Die Gründe:

• Embedded Systems und IoT: Router, NAS-Systeme, Netzwerk-Appliances und industrielle Steuerungen laufen oft mit veralteten Bash-Versionen — und werden selten oder nie gepatcht
• Legacy-Webanwendungen: CGI-basierte Webseiten, die seit Jahren unverändert laufen, verwenden Bash zur Verarbeitung von Requests. Diese Anwendungen sind oft vergessen, aber weiterhin erreichbar
• Automatisierte Exploit-Kits: Shellshock ist in praktisch jedem automatisierten Scanning-Tool enthalten. Die Exploitation ist trivial — ein einziger HTTP-Header reicht

Die aktuelle Angriffswelle richtet sich laut Branchenberichten verstärkt gegen Banken und Finanzdienstleister — Branchen, die erfahrungsgemäß komplexe IT-Landschaften mit zahlreichen Legacy-Komponenten betreiben.

Shellshock in der Lieferkette

Ein unterschätzter Aspekt: Shellshock betrifft nicht nur eigene Systeme, sondern auch Produkte und Appliances von Drittanbietern. Netzwerk-Appliances, Firewalls, Load Balancer und IoT-Geräte können verwundbare Bash-Versionen enthalten, ohne dass der Betreiber davon weiß. Die Software Bill of Materials (SBOM) dieser Geräte — sofern überhaupt verfügbar — wird selten auf Legacy-Schwachstellen wie Shellshock geprüft.

Erkennung und Prüfung

Die Prüfung auf Shellshock-Verwundbarkeit ist einfach:

env x='() { :;}; echo vulnerable' bash -c "echo test"

Gibt das System „vulnerable” aus, ist Bash verwundbar. Für Netzwerk-Scans können Tools wie Nmap mit dem Shellshock-Skript oder spezialisierte Vulnerability-Scanner eingesetzt werden.

Handlungsempfehlungen

• Legacy-Inventar erstellen: Identifizieren Sie alle Systeme mit Bash — einschließlich Appliances, Embedded Systems und vergessener Webserver
• Bash patchen oder ersetzen: Wo möglich, auf aktuelle Bash-Versionen aktualisieren. Wo nicht möglich, CGI-Anwendungen deaktivieren oder durch moderne Alternativen ersetzen
• Netzwerksegmentierung: Legacy-Systeme, die nicht gepatcht werden können, in isolierte Netzwerksegmente verschieben
• SIEM-Monitoring: HTTP-Logs auf typische Shellshock-Exploit-Muster überwachen (manipulierte User-Agent-Header, Cookie-Header mit Bash-Funktionsdefinitionen)
• Lieferanten befragen: Appliance-Hersteller nach dem Bash-Versionsstand ihrer Produkte fragen — insbesondere bei Geräten, die vor 2015 ausgeliefert wurden