Cybercriminelen maken al actief gebruik van het gisteren onthulde Bash-lek om computers aan te vallen waarbij wordt geprobeerd om een DDoS-bot te installeren, zo melden onderzoekers. Via de kwetsbaarheid kan een aanvaller in bepaalde gevallen op afstand willekeurige code op systemen uitvoeren.

Bash is een Unix-shell waarmee er opdrachten aan het systeem kunnen worden gegeven en is op Unix-gebaseerde besturingssystemen zoals Linux en Mac OS X aanwezig. Ondanks dat het lek zeer veel systemen raakt, kan het in de meeste gevallen niet op afstand worden aangevallen, zo stelt Jen Ellis van beveiligingsbedrijf Rapid 7. Ellis verwacht dat waarschijnlijke oude webapplicaties die standaard CGI gebruiken het voornaamste doelwit zullen worden. "Deze bug zal een onbekend aantal producten raken, maar de omstandigheden om er op afstand misbruik van te maken zijn redelijk bijzonder", aldus de expert.

Dat neemt niet weg dat er inmiddels al wel aanvallen zijn gesignaleerd. Beveiligingsonderzoeker "Yinette" ontdekte een poging waarbij er werd geprobeerd om via het Bash-lek, dat ook wel Shellshock wordt genoemd, binnen te dringen. Uit informatie op GitHub over de malware blijkt dat het om een kernel-exploit met Command & Control-onderdeel gaat, die systemen voor het uitvoeren van DDoS-aanvallen kan inzetten.

Inmiddels wordt er hard aan een patch voor het probleem gewerkt. Een eerdere update die uitkwam bleek namelijk niet helemaal te werken, zo ontdekte beveiligingsonderzoeker Tavis Ormandy. Wat betreft de bug zelf gaat het volgens onderzoeker Michael Zalewski om een zeer ongewone bug in een zeer obscure feature van een programma waar onderzoekers eigenlijk niet naar kijken. "Juist omdat niemand verwacht dat het op deze manier zou falen."