Kwetsbaarheid in servers raakt duizenden websites

Een fout in de veelgebruikte computersystemen Linux, Unix en OS X geeft hackers vrij spel op veel webservers.

Beheerders van websites zijn in rep en roer omdat de internetwereld er weer een gevaar bij heeft: Shellshock.

Een net ontdekt – maar stokoud – lek in de besturingssystemen die veel websites gebruiken, geeft hackers de kans om binnen te dringen en computers te infecteren. Deze kwetsbaarheid heeft de naam ‘Shellshock’ gekregen omdat het gaat om een fout in ’bash’ (born again shell), het programma dat opdrachten en scripts verwerkt. Bash is onder sommige omstandigheden van buitenaf toegankelijk. Aanvallers kunnen stiekem kwaadaardige code meesmokkelen en zo de macht over het systeem verkrijgen. Dat stelt kwaadwillenden in staat om informatie op de server te stelen, te veranderen of de webdienst plat te leggen. Genoeg redenen voor groot alarm onder beheerders van websites.

Het lek bevindt zich in de kern van besturingssystemen die op Unix gebaseerd zijn, zoals Mac OS X en Linux. Met name Linux wordt veel gebruikt voor webservers. Uit eerste steekproeven blijkt dat het gaat om duizenden kwetsbare websites, wellicht veel meer. Ook routers, die dataverkeer schakelen, kunnen door het lek kwetsbaar zijn.

De bewuste fout is volgens specialisten al 22 jaar oud – Unix is een besturingssysteem met een rijke traditie – maar de kwetsbaarheid is pas kort geleden ontdekt.

Shellshock wordt al vergeleken met Heartbleed-probleem dat in april dit jaar voor opschudding zorgde. Heartbleed was een wijdverspreid lek in de standaard die gebruikt wordt voor veilige transacties. Daardoor konden kwaadwillenden wachtwoorden en inlognamen ontfutselen. Het advies was destijds om je wachtwoorden te veranderen.

Webbeheerders wachten nu op een oplossing voor het Shellshock-probleem. Een eerste update wist het complete lek nog niet te dichten.