Linux及Mac OS上使用相當普遍的Bash shell傳出Shellshock(破殼,殼層衝擊)漏洞(CVE-2014-6271)才一天時間,包括澳洲電腦緊急應變中心、以及趨勢科技、卡巴斯基、Bluecoat等資安業者都表示,已經發現鎖定該漏洞的攻擊行動。此外,雖然各家Linux業者已釋出修補程式,但後來又發現修補並不完全。
Bash是一個指令列shell (殼層)程式,廣泛存在於 Linux、BSD 和 Mac OS X 等UNIX-based的作業系統,使用者只要將指令輸入到一個簡單的文字式視窗,作業系統便會依指令運作。由於全球有超過半數的伺服器採用Linux,也讓這個漏洞的可能影響相當可怕,各方評估皆認為,嚴重程度可能超過Heartbleed。駭客一但成功攻擊一個網站或伺服器,特別是CGI 網頁伺服器,幾乎可以為所欲為,例如可以隨意修改網站內容,變更程式碼、竊取資料庫中的使用者資料,或者安裝後門等惡意程式。而根據各個資安機構指出,目前已開始出現了利用Shell Shock的攻擊案例。
澳洲電腦緊急應變中心(AusCERT)就發出安全公告指出,該單位已經接獲報告, 目前已傳出鎖定該漏洞攻擊的災情,網站管理員必須及早著手修補。
趨勢科技則指出,由於這個臭蟲的分布相當廣泛,再加上其攻擊的技術門檻相當低,因此可能的傷害也會很大。網際網路上有過半的伺服器用的都是Linux,另外還有Android手機及許多的物聯網裝置,更讓這個漏洞的觸角無遠弗屆。此外,Bitcoin Core也是用Bash來控制,因此該漏洞也影響了比特幣的採礦與相關系統,這也提高了對攻擊者的吸引力。同時,趨勢表示,已經看到攻擊行為已經在展開。
Bluecoat的資深研究員Waylon Grange也表示,已經開始看到DDOS殭屍網路嘗試利用這個漏洞展開攻擊,而且可能不需多久時間就會看到鎖定這個漏洞的流量大幅增加。他表示,由於這個臭蟲存在於 /bin/bash 解析器(parser),因此網站接受來自用戶端的許多欄位(fields)皆可以在標頭(header)注入任何的惡意程式。使用者代理(User Agent)、引用(referrer)、URL變數、cookies,任何其他的標頭欄位都可能受到影響。他認為,隨著越來越多共通的網頁框架將會被分析出來,未來將會有更多的目標式攻擊出現。
Kapersky在一篇Q&A中表示,這是一個非常嚴重的漏洞,因為它的影響層面高而攻擊門檻低,攻擊者可以很輕易地以受影響服務的同樣權限執行系統層級的指令。就目前網路上多數的情況來看,攻擊者都是遠端攻擊那些CGI指令碼(scripts)有漏洞的網頁伺服器。 卡巴斯基表示,在撰寫該篇文章時一些惡意行動就已經在利用該漏洞了,例如以惡意程式來感染那些有漏洞的網頁伺服器,或者直接攻擊網站。「我們的研究員持續在蒐集新的樣本以及一些感染的徵兆,預計很快就會公布相關的惡意程式資訊。」
另外還有安全研究員則公布實際遇到的攻擊行動, Yinette透過Twitter指出:「真的來了!我的安全偵測系統發現第一宗攻擊行動。」他在GitHub Gist論壇貼文指出,其安全系統偵測到一個名為nginx的ELF 32-bit LSB 可執行檔,並判斷可能是來自外部Command & Control (C&C)伺服器發出的系統核心攻擊行為。
CGI 網頁伺服器首當其衝,嵌入式裝置可能成死角
雖然到底影響層面有多廣還不得而知,不過Errata Security安全專家Robert Graham 做簡單的掃描發現許多網站都存在漏洞。他表示,只簡單就port 80及根目錄掃瞄就發現至少3,000台有漏洞的系統。事實上根目錄是最可能不會有事的地方,如果深入掃瞄網站的CGI 指令碼,例如CPanel的 /cgi-sys/defaultwebpage.cgi,那麼結果就會大不相同,有問題的系統至少會翻十倍。
Robert Graham還指出,除了web之外,諸如DHCP也是可能有漏洞的地方。他表示,還有一個很重要的問題是, Mac OS X 和iPhone DHCP 服務是否有漏洞?若是的話,一但蠕蟲鑽進防火牆然後執行惡意的DHCP服務,那大型網路就「玩完了」。
賽門鐵克則表示,相關攻擊最有可能通過使用廣泛的CGI網頁伺服器(web server),攻擊者可能會利用CGI發送一個畸形的環境變數到低防護的web server讓伺服器執行惡意指令。攻擊者一旦成功利用伺服器上的漏洞,便可下載惡意程式到受感染的電腦,並突破受害者電腦的防火牆,感染網路上的其他電腦。除了多個版本的Linux和Unix作業系統,包括Mac OS X都有可能受到攻擊外,以Bash運作的物聯網和嵌入式設備,如路由器也可能受到威脅。然而,許多較新的設備都以一套稱為BusyBox的工具取代Bash運作,因此不受此漏洞影響。
漏洞修補不完整
美國國家漏洞資料庫(NVD)是在9月24日發出CVE-2014-6271通報。
通報指出,4.3 版以前的GNU Bash皆存在一個漏洞,讓攻擊者可藉由偽造環境變數遠端執行任意程式碼,例如透過 OpenSSH sshd 的 ForceCommand 功能、Apache HTTP伺服器的 mod_cgi 與 mod_cgid 模組、非特定的DHCP 用戶端執行的指令碼(script),以及任何可以透過 Bash 跳過權限檢查以設定環境的方法。其影響等級NVD給予最嚴重的10.0分。
然而,由於CVE-2014-6271漏洞修補並不完整,因此NVD緊接著又在9月25日發出CVE-2014-7169通報,該通報說明,這個漏洞的存在,是因為CVE-2014-6271修復並不完全。
對此紅帽(Red Hat)也發出通告表示,正與上游的開發者合作著手修補程式,並將此工作視為第一優先。紅帽並建議客戶盡速升級到已修補CVE-2014-6271漏洞的最新Bash版本,不要等待CVE-2014-7169的修補程式,因為目前正在開發修補程式的CVE-2014-7169漏洞問題比較不嚴重。
而我國的行政院國家資通安全會報技術服務中心也發布警報指出,由於弱點嚴重性高,為確保平台安全性,請各機關自行檢視所屬系統 GNU Bash 版本是否存有弱點。目前所釋出之更新程式未能完整修補該弱點,敬請隨時注意該弱點資訊更新之消息。
相關網站:
測試網站是否有ShellShock漏洞:到 bashsmash.ccsir.org 網站直接輸入網址即可。
趨勢科技部落格:Shellshock 漏洞 猛烈來襲,網路用戶請全面戒備!; 關於 Shellshock (bash 漏洞) 你該知道的事
熱門新聞
2024-12-22
2024-12-20
2024-12-22
2024-11-29
2024-11-15
2024-11-20