Shellshock漏洞帶來巨大網(wǎng)絡(luò)安全威脅
責(zé)編:admin |2014-09-29 15:05:39Shellshock并沒有被夸大,在很長一段時(shí)間內(nèi),各種規(guī)模的系統(tǒng)都將受到影響。現(xiàn)在趕緊打補(bǔ)丁!
在筆者看來,Shellshock Bash漏洞帶來的影響可能會(huì)超過Heartbleed。筆者在不同地理位置和不同供應(yīng)商的幾臺(tái)服務(wù)器已經(jīng)檢測到漏洞利用。問題何在?這個(gè)漏洞太容易被攻擊者利用。
事實(shí)上,這是Bash中22年之久的漏洞,該漏洞導(dǎo)致shell在調(diào)用匿名函數(shù)后執(zhí)行交付的代碼。讓事情更糟糕的是,這可以發(fā)生在shell在評(píng)估環(huán)境變量的時(shí)候。
一個(gè)很簡單的例子:如果你可以構(gòu)建一個(gè)HTTP表頭,例如包含一個(gè)類似用戶代理字符串(包含正確語法)的變量,然后把該請(qǐng)求傳輸?shù)絯eb服務(wù)器,該服務(wù)器會(huì)調(diào)用Bash作為CGI腳本,或者以PHP、Java、Python或其他語言發(fā)布system()或popen()調(diào)用,并傳遞這些變量到Bash,你就可以破壞系統(tǒng)。非常重要的是要注意,這只會(huì)影響作為CGI運(yùn)行的代碼;這并不會(huì)影響運(yùn)行mod_php的PHP代碼。我們建議你以可以通過系統(tǒng)調(diào)用Bash的所有語言來全面測試代碼。
同樣地,為了利用這個(gè)漏洞,我們需要執(zhí)行以下操作:
1. 運(yùn)行代碼的Web服務(wù)器最終調(diào)用Bash和傳遞環(huán)境變量
2. 有人發(fā)現(xiàn)和請(qǐng)求頁面或腳本同時(shí)注入惡意表頭
這看起來并不是很難。
攻擊者可以如何利用這個(gè)漏洞?在用戶運(yùn)行Web服務(wù)器進(jìn)程時(shí)攻擊者可以發(fā)出命令。這并不意味著他們有root權(quán)限,但他們可以發(fā)出一組命令(在這里就不詳述了)可以通過使用Web服務(wù)器已經(jīng)存在的常用*nix工具來創(chuàng)建交互式shell。他們還可以導(dǎo)致文件上傳到其他服務(wù)器,或者他們可以使用服務(wù)器的shell權(quán)限作為未授權(quán)用戶做各種事情。這并不是立即生根,但是讓人非常不舒服的情況。
如果有服務(wù)器運(yùn)行Bash腳本作為CGI,這只能被認(rèn)為是可怕的安全做法,而且非常容易受到攻擊。不會(huì)進(jìn)行System()或popen()調(diào)用的代碼,以及僅在身份驗(yàn)證操作過程中進(jìn)行調(diào)用的代碼不太可能受到攻擊,不會(huì)向匿名訪問公開這些調(diào)用腳本的代碼同樣也不會(huì)。此外,如前所述,這些調(diào)用必須傳遞環(huán)境變量才能讓漏洞顯現(xiàn)。
這仍然留下了巨大的攻擊空間,并且我們已經(jīng)看到了現(xiàn)實(shí)中的證據(jù)。事實(shí)上,單行curl命令可以用來利用這個(gè)漏洞,而且不需要嗅探或編碼。此外,這個(gè)漏洞可以被用來通過傳遞惡意字符(由客戶端方面運(yùn)行的Bash添加到環(huán)境辯論中)來利用*nix DHCP客戶端,并且SUID漏洞可能通過這種方法獲取更多的root訪問權(quán)限。然而,這些一般都是本地漏洞利用,并不是遠(yuǎn)程。
在筆者服務(wù)器出現(xiàn)的漏洞利用正在使用用戶代理字符串,當(dāng)然這些漏洞利用嘗試被記錄在日志中。這些看起來像是CPanel漏洞利用,如果是這樣,大量VPS和托管服務(wù)器都將在短期內(nèi)受到影響。很多這些系統(tǒng)運(yùn)行CPanel來提供GUI前端到Linux服務(wù)器管理。筆者猜想,大多數(shù)這些漏洞利用將會(huì)瞄準(zhǔn)將是網(wǎng)絡(luò),在筆者訪問日志中的漏洞利用似乎只是試圖ping到特定IP地址,可能是為了搜集易受攻擊系統(tǒng)的清單,而攻擊者則正在忙于編碼實(shí)際漏洞利用。時(shí)間將會(huì)為我們揭曉答案。
然后是所有固定/嵌入式系統(tǒng),例如防火墻設(shè)備和路由器,以及可能或可能不運(yùn)行Bash的其他系統(tǒng),以及可能或可能不通過其Web UI進(jìn)行Bash調(diào)用的系統(tǒng)。筆者認(rèn)為,很多系統(tǒng)調(diào)用回shell來運(yùn)行各種小型診斷命令,希望這些有某種形式的身份驗(yàn)證,或者它們正在運(yùn)行ash,而不是sh或Bash。
我們可能會(huì)發(fā)現(xiàn)一大堆以這樣或那樣的方式調(diào)用Bash的系統(tǒng),這些系統(tǒng)都需要修復(fù)或脫機(jī)。一旦發(fā)現(xiàn)這樣的系統(tǒng),它們受到攻擊只是時(shí)間問題。
現(xiàn)在,我們能做的就是打補(bǔ)丁。Red Hat、Ubuntu和其他Linux版本以及各種BSD已經(jīng)開始推出補(bǔ)丁,至少部分幫助消除該漏洞,雖然Bash維護(hù)者發(fā)布的最初補(bǔ)丁可能不夠用。在接下來的幾天里,我們將會(huì)看到新一輪的補(bǔ)丁。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧