Bash 漏洞已出現攻擊行動，又傳出修補後仍有漏洞！

Linux及Mac OS上使用相當普遍的Bash shell傳出Shellshock（破殼，殼層衝擊）漏洞（CVE-2014-6271）才一天時間，包括澳洲電腦緊急應變中心、以及趨勢科技、卡巴斯基、Bluecoat等資安業者都表示，已經發現鎖定該漏洞的攻擊行動。此外，雖然各家Linux業者已釋出修補程式，但後來又發現修補並不完全。

Bash是一個指令列shell （殼層）程式，廣泛存在於 Linux、BSD 和 Mac OS X 等UNIX-based的作業系統，使用者只要將指令輸入到一個簡單的文字式視窗，作業系統便會依指令運作。由於全球有超過半數的伺服器採用Linux，也讓這個漏洞的可能影響相當可怕，各方評估皆認為，嚴重程度可能超過Heartbleed。駭客一但成功攻擊一個網站或伺服器，特別是CGI 網頁伺服器，幾乎可以為所欲為，例如可以隨意修改網站內容，變更程式碼、竊取資料庫中的使用者資料，或者安裝後門等惡意程式。而根據各個資安機構指出，目前已開始出現了利用Shell Shock的攻擊案例。

澳洲電腦緊急應變中心(AusCERT)就發出安全公告指出，該單位已經接獲報告， 目前已傳出鎖定該漏洞攻擊的災情，網站管理員必須及早著手修補。

趨勢科技則指出，由於這個臭蟲的分布相當廣泛，再加上其攻擊的技術門檻相當低，因此可能的傷害也會很大。網際網路上有過半的伺服器用的都是Linux，另外還有Android手機及許多的物聯網裝置，更讓這個漏洞的觸角無遠弗屆。此外，Bitcoin Core也是用Bash來控制，因此該漏洞也影響了比特幣的採礦與相關系統，這也提高了對攻擊者的吸引力。同時，趨勢表示，已經看到攻擊行為已經在展開。

Bluecoat的資深研究員Waylon Grange也表示，已經開始看到DDOS殭屍網路嘗試利用這個漏洞展開攻擊，而且可能不需多久時間就會看到鎖定這個漏洞的流量大幅增加。他表示，由於這個臭蟲存在於 /bin/bash 解析器（parser），因此網站接受來自用戶端的許多欄位（fields）皆可以在標頭（header）注入任何的惡意程式。使用者代理（User Agent）、引用（referrer）、URL變數、cookies，任何其他的標頭欄位都可能受到影響。他認為，隨著越來越多共通的網頁框架將會被分析出來，未來將會有更多的目標式攻擊出現。

Kapersky在一篇Q&A中表示，這是一個非常嚴重的漏洞，因為它的影響層面高而攻擊門檻低，攻擊者可以很輕易地以受影響服務的同樣權限執行系統層級的指令。就目前網路上多數的情況來看，攻擊者都是遠端攻擊那些CGI指令碼（scripts）有漏洞的網頁伺服器。 卡巴斯基表示，在撰寫該篇文章時一些惡意行動就已經在利用該漏洞了，例如以惡意程式來感染那些有漏洞的網頁伺服器，或者直接攻擊網站。「我們的研究員持續在蒐集新的樣本以及一些感染的徵兆，預計很快就會公布相關的惡意程式資訊。」

另外還有安全研究員則公布實際遇到的攻擊行動， Yinette透過Twitter指出：「真的來了！我的安全偵測系統發現第一宗攻擊行動。」他在GitHub Gist論壇貼文指出，其安全系統偵測到一個名為nginx的ELF 32-bit LSB 可執行檔，並判斷可能是來自外部Command & Control (C&C)伺服器發出的系統核心攻擊行為。

CGI 網頁伺服器首當其衝，嵌入式裝置可能成死角

雖然到底影響層面有多廣還不得而知，不過Errata Security安全專家Robert Graham 做簡單的掃描發現許多網站都存在漏洞。他表示，只簡單就port 80及根目錄掃瞄就發現至少3,000台有漏洞的系統。事實上根目錄是最可能不會有事的地方，如果深入掃瞄網站的CGI 指令碼，例如CPanel的 /cgi-sys/defaultwebpage.cgi，那麼結果就會大不相同，有問題的系統至少會翻十倍。

Robert Graham還指出，除了web之外，諸如DHCP也是可能有漏洞的地方。他表示，還有一個很重要的問題是， Mac OS X 和iPhone DHCP 服務是否有漏洞？若是的話，一但蠕蟲鑽進防火牆然後執行惡意的DHCP服務，那大型網路就「玩完了」。

賽門鐵克則表示，相關攻擊最有可能通過使用廣泛的CGI網頁伺服器（web server），攻擊者可能會利用CGI發送一個畸形的環境變數到低防護的web server讓伺服器執行惡意指令。攻擊者一旦成功利用伺服器上的漏洞，便可下載惡意程式到受感染的電腦，並突破受害者電腦的防火牆，感染網路上的其他電腦。除了多個版本的Linux和Unix作業系統，包括Mac OS X都有可能受到攻擊外，以Bash運作的物聯網和嵌入式設備，如路由器也可能受到威脅。然而，許多較新的設備都以一套稱為BusyBox的工具取代Bash運作，因此不受此漏洞影響。

漏洞修補不完整

美國國家漏洞資料庫（NVD）是在9月24日發出CVE-2014-6271通報。

通報指出，4.3 版以前的GNU Bash皆存在一個漏洞，讓攻擊者可藉由偽造環境變數遠端執行任意程式碼，例如透過 OpenSSH sshd 的 ForceCommand 功能、Apache HTTP伺服器的 mod_cgi 與 mod_cgid 模組、非特定的DHCP 用戶端執行的指令碼（script），以及任何可以透過 Bash 跳過權限檢查以設定環境的方法。其影響等級NVD給予最嚴重的10.0分。

然而，由於CVE-2014-6271漏洞修補並不完整，因此NVD緊接著又在9月25日發出CVE-2014-7169通報，該通報說明，這個漏洞的存在，是因為CVE-2014-6271修復並不完全。

對此紅帽（Red Hat）也發出通告表示，正與上游的開發者合作著手修補程式，並將此工作視為第一優先。紅帽並建議客戶盡速升級到已修補CVE-2014-6271漏洞的最新Bash版本，不要等待CVE-2014-7169的修補程式，因為目前正在開發修補程式的CVE-2014-7169漏洞問題比較不嚴重。

而我國的行政院國家資通安全會報技術服務中心也發布警報指出，由於弱點嚴重性高，為確保平台安全性，請各機關自行檢視所屬系統 GNU Bash 版本是否存有弱點。目前所釋出之更新程式未能完整修補該弱點，敬請隨時注意該弱點資訊更新之消息。

相關網站：

測試網站是否有ShellShock漏洞：到 bashsmash.ccsir.org 網站直接輸入網址即可。

趨勢科技部落格：Shellshock 漏洞 猛烈來襲,網路用戶請全面戒備!；　關於 Shellshock (bash 漏洞) 你該知道的事