.gif)
9月底又發現了一個震驚全球的重大資安漏洞,此一漏洞出現在UNIX平台的Bash Shell殼層程式,被命名為「Shell Shock」(殼層衝擊漏洞)。此漏洞嚴重的程度甚至超過今年4月上旬被稱作「史上最嚴重網路安全漏洞」的Heartbleed漏洞,其影響範圍除了網站,尚包括物聯網(IoT) 裝置、老舊網路設備、Android裝置,甚至連虛擬貨幣比特幣(Bitcoin)都可能曝露在嚴重的資安風險下。
「Heartbleed」與「Shell Shock」皆為令人聞之色變的全球級網路漏洞,最主要的原因在於OpenSSL與Bash Shell都是當前網站普遍採用的軟體。據估計,目前全球一半以上的網頁伺服器會透過OpenSSL來進行網路傳輸加密,所以當OpenSSL一出現漏洞,這些網站自然也跟著遭殃;至於Bash Shell,它不但是GNU作業系統的殼層程式,同時也是Linux、BSD及Mac OS X的預設殼層程式,由於全球有半數以上的網頁伺服器採用Linux系統,這些伺服器自然也難逃「Shell Shock」漏洞的影響。
資安專家更進一步點名,除了Linux網頁伺服器外,「Shell Shock」漏洞的衝擊波還可能波及到物聯網裝置、老舊路由器等網路裝置、DHCP伺服器、Android手機與其他Android裝置,以及當前正夯的虛擬貨幣比特幣身上。
由於「Shell Shock」漏洞可讓駭客透過簡單的資訊請求,執行任何的惡意程式碼,進而從遠端後門對系統執行指令,以取得該系統的控制權,企業機密的數據即有可能因被植入木馬或惡意程式,面臨遭竊的風險;攻擊者甚至可藉此入侵網路伺服器、發動DDoS攻擊。
中華電信資安監控中心(Security Operation Center)指出,該攻擊對採用Unix-based系統的企業影響較大,對於個人的影響性較小。企業若想降低風險,可透過將Bash Shell升級至最新版本的方式來修補漏洞。至於尚未更新前,企業可部署最新IPS入侵偵測系統加強系統保護外,降低駭客經由遠端入侵的風險 。中華電信入侵防護服務已於10/3號開始提供shellshock漏洞攻擊防護功能,並於4小時內幫助客戶阻擋了13萬次的攻擊。
更多企業資安解決方案訊息,可參考中華電信企業資安服務:http://secure365.hinet.net/hiips/default.jsp。