Shellshock讓“心臟出血”漏洞變得微不足道
責(zé)編:admin |2014-10-07 16:22:08不知道是怎么一回事,似乎總是有另一場(chǎng)互聯(lián)網(wǎng)安全災(zāi)難會(huì)出現(xiàn)在下一個(gè)拐角。幾個(gè)月之前,每個(gè)人都為“心臟出血”漏洞感到恐慌。
現(xiàn)在出現(xiàn)的這個(gè)漏洞——Shellshock(正式的名稱(chēng)是CVE-2014-6271)是一個(gè)嚴(yán)重得多的安全漏洞——正在互聯(lián)網(wǎng)上肆意橫行。永遠(yuǎn)都不是恐慌的最佳時(shí)機(jī),但是如果你感到氣餒,我不會(huì)責(zé)怪你;因?yàn)槲抑雷约阂舱跉怵H。
現(xiàn)在回想起來(lái),對(duì)于心臟滴血漏洞的關(guān)切似乎放錯(cuò)了地方。這是由于可能導(dǎo)致信息泄露的漏洞雖然非常糟糕,但是它只會(huì)導(dǎo)致信息泄露,而且它比較難以利用。利用Shellshock漏洞可能的攻擊面非常寬,而且它非常容易被利用,根據(jù)研究公司Fireeye的研究表明,這一漏洞已經(jīng)被廣泛使用,該公司表示他們已經(jīng)觀察到了幾種形式的攻擊:
惡意軟件droppers
反向shells和后門(mén)
數(shù)據(jù)泄露
拒絕服務(wù)攻擊(DDoS)
當(dāng)然,不僅僅是Fireeye;每個(gè)人都在報(bào)告漏洞被利用的各種蛛絲馬跡。看看Kaspersky、Trend Micro、HP Security Research和其他的一些網(wǎng)站吧。
說(shuō)到惠普,他們的TippingPoint部門(mén)指出他們的網(wǎng)絡(luò)IPS已經(jīng)進(jìn)行了更新,能夠識(shí)別出已知的利用Shellshock漏洞的攻擊。嚴(yán)格更新的IPS——不僅僅部署在網(wǎng)絡(luò)周邊,也部署在網(wǎng)絡(luò)中重要的節(jié)點(diǎn)上——可以有效防護(hù)你的系統(tǒng)免受已知的Shellshock漏洞攻擊。惠普當(dāng)然不是唯一采用IPS的。請(qǐng)記住,IPS更多的是對(duì)于已知攻擊方法的防護(hù),而不是對(duì)于這個(gè)漏洞總體上的防御。
這種特殊的bug在Bash shell中存在的時(shí)間已經(jīng)超過(guò)了二十年。這意味著情況非常糟糕。首先,它意味著一個(gè)極其重要而且極其流行的程序并沒(méi)有經(jīng)歷過(guò)嚴(yán)謹(jǐn)?shù)膶彶椋蛘哒f(shuō)檢查得非常馬虎。當(dāng)然還有很多其他類(lèi)似的問(wèn)題。如果其中有一些漏洞暗中被精心利用了很多年,請(qǐng)不要感到吃驚。事實(shí)上,如果Shellshock這個(gè)漏洞在以前被人利用過(guò)也不讓人吃驚。
圍繞著Shellshock可能會(huì)出現(xiàn)各種可怕的情景。并不局限于網(wǎng)絡(luò)服務(wù)器攻擊。Fireeye展示了不同類(lèi)型的互聯(lián)網(wǎng)服務(wù),甚至包括DHCP和SSH也可能被利用來(lái)進(jìn)行攻擊,只要它們使用了Bash外殼,而它們往往如此。他們展示了自動(dòng)點(diǎn)擊欺詐、盜取主機(jī)密碼文件、利用服務(wù)器進(jìn)行拒絕服務(wù)(DDOS)攻擊以及在沒(méi)有運(yùn)行任何惡意軟件的服務(wù)器上建立shell的幾種方法。
這個(gè)漏洞另一個(gè)討厭的方面是有這么多的*NIX服務(wù)器都看不見(jiàn)/忘記了。這些服務(wù)器(通常)都沒(méi)有定期運(yùn)行的自動(dòng)升級(jí)程序。心臟流血漏洞也是如此,但是OpenSSL在普及程度方面完全比不上Bash,即使是使用了OpenSSL,處理的往往也不是關(guān)鍵信息……
在最初的更新被證明并不足夠之后,對(duì)開(kāi)放源代碼軟件社區(qū)的信心已經(jīng)很微弱了。Shellshock安全漏洞一直等到補(bǔ)丁就位了之后才被公布,但是很快進(jìn)一步的研究就表明存在著更多相關(guān)的漏洞,這些漏洞也需要通過(guò)補(bǔ)丁修復(fù)。(目前Bash的版本已經(jīng)解決了所有已知的漏洞——不過(guò)不包括任何一個(gè)未知的漏洞)。
當(dāng)然,亡羊補(bǔ)牢就像是一個(gè)輸家的比賽。如同心臟出血和很多較早期的安全漏洞危機(jī)已經(jīng)證明的那樣,如果你想要終結(jié)這種局面,就需要一個(gè)積極的審核政策和程序。正確執(zhí)行這樣的政策能夠讓你知道你的網(wǎng)絡(luò)上軟件的情況。你真的想要做到這一點(diǎn),因?yàn)槟切┮呀?jīng)侵入你的網(wǎng)絡(luò)的攻擊者們可能也已經(jīng)有一個(gè)了。你至少需要和他們的反應(yīng)速度一樣快。
每個(gè)人都同意這是一個(gè)苦差事,也同意這是最好的做法,但是很少有人有時(shí)間這樣做。即使這種做法從很大程度上來(lái)說(shuō)只是稍微好一點(diǎn)的應(yīng)對(duì)方式,還是能夠幫助發(fā)現(xiàn)網(wǎng)絡(luò)中未經(jīng)授權(quán)的軟件,這是一個(gè)額外的好處。你對(duì)于自己擁有哪些軟件、這些軟件運(yùn)行在哪里了解的越少,你花在應(yīng)對(duì)Shellshock之類(lèi)的危機(jī)的時(shí)間就越長(zhǎng)。如果你的反應(yīng)遲緩導(dǎo)致了客戶(hù)或者第三方的損失,他們可以理直氣壯地說(shuō)你沒(méi)有竭盡全力保護(hù)自己的系統(tǒng)。
- ISC.AI 2025正式啟動(dòng):AI與安全協(xié)同進(jìn)化,開(kāi)啟數(shù)智未來(lái)
- 360安全云聯(lián)運(yùn)商座談會(huì)圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營(yíng)聯(lián)運(yùn)”認(rèn)證!
- 280萬(wàn)人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬(wàn)元
- 推動(dòng)數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個(gè)人信息泄露,企業(yè)賠償員工超5000萬(wàn)元
- UTG-Q-017:“短平快”體系下的高級(jí)竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書(shū)
- 美國(guó)美中委員會(huì)發(fā)布DeepSeek調(diào)查報(bào)告
- 2024年中國(guó)網(wǎng)絡(luò)與信息法治建設(shè)回顧