近日,國外爆出嚴重的資安漏洞危機,多家資安網站及Linux廠商發現一個名為Shellshock(CVE-2014-6271和CVE-2014-7169)的資安漏洞,可能導致使用Bash Shell(命令解讀殼層)的作業系統,包括Linux、Unix為基礎平臺、Mac OS X系統,皆曝露在駭客遠端入侵的風險之中,甚至路由器或部份使用Bash的Windows伺服器與 Android系統等,都有可能受害。

趨勢科技也在最新發布公告提出建議,針對使用Bash漏洞版本Linux的企業,應儘速將Bash升级至最新版本來修補該漏洞,未更新前的企業,則可透過將預設Bash Shell關閉,改用其他的Shell來重新撰寫執行程式,以降低駭客經遠端入侵的風險。

就在9月24日前後,包括美國電腦緊急應變中心(US-CERT)、企業級Linux廠商紅帽及多家資安網站,皆發布嚴重資安警告,表示一個廣泛使用在Linux/Unix平臺上的Bash Shell存在重大資安漏洞。而在Shellshock的漏洞爆出後,美國國家標準技術局(National Institute of Standards and Technology,NIST)也少見將Shellshock漏洞的資安嚴重等級,跟發生於今年4月的Heartbleed漏洞,同樣評為最嚴重的10分。

Shellshock的漏洞,讓駭客能利用簡單的電腦資訊請求,進而執行任何的惡意程式碼,駭客甚至不需要經過認證,就能從遠端後門對系統執行任意指令,以取得該系統的控制權,包括用來執行惡意程式,或在系統內植入木馬操控,甚至可能以此來竊取機密的數據。此外,經發現Bash從Bash 1.14到Bash 4.3版本皆存有Shellshock的漏洞問題。

對此,趨勢表示,目前世界上有超過二分之一的網路Web伺服器都使用Apache伺服器,絕大多數都是在Linux環境下,以Bash 作為預設命令殼層。趨勢科技強調,若以目前全世界超過10億個網站數量來看,Shellshock 的影響範圍甚至比起 Heartbleed影響更大。

趨勢也指出,這兩天已偵測到不少網路的攻擊流量,皆顯示駭客開始嘗試利用網路掃描來尋找存在Bash弱點的伺服器,進一步發現能遠端入侵的攻擊目標。此外,現在任何有使用Bash程式來提供網路服務,像是CGI、ssh、rsh及rlogin等,都可能因該漏洞而曝露於駭客入侵的潛在威脅下。

甚至,在Shellshock漏洞公布後的隔天,美商資安公司TrustedSec也在網站上公布,利用概念性驗證(Proof of Concept)的方式,證明也能利用Shellshock漏洞成功攻擊DHCP伺服器。

目前擔任資安公司vArmour資深工程師,也是臺灣駭客年會創辦人徐千洋則表示,這次爆發的Shellshock漏洞,並非使用Bash的Linux系統就一定會被遠端入侵。他認為,駭客利用Shellshock漏洞入侵的要素,必須是CGI程式使用了環境變數,而同時又用了會呼叫/bin/bash中的函式,諸如system()和popen()等,才有可能被入侵成功。

徐千洋也表示,目前企業或網站的應用程式,大多使用PHP、Perl、Python等程式語言,加上若沒有使用環境變數的情況下,駭客也很難利用遠端來進行入侵。至於一般家用用戶,只安裝Linux系統作個人電腦使用,而沒拿來架設Web伺服器,就不會有遠端入侵的問題。

徐千洋解釋,目前在網路流傳Bash弱點的自我檢測方式,是在Bash中輸入 env x='() { :;}; echo vulnerable' bash -c "echo this is a test"進行檢測,但這都是利用本地端來執行的檢測,而非真正透過遠端連線執行,因此,就算檢測結果有問題,也只能證明該Linux系統的Bash有問題,並不代表駭客就能利用Bash來入侵系統。

不過徐千洋也提醒,對於一些仍使用Bash的老舊網路設備以及嵌入式系統,駭客就有可能經由此弱點來進行遠端入侵。而趨勢科技也提醒,如果有使用到如嵌入式系統的IoT物聯網裝置,應隨時留意廠商的更新通知來修補漏洞。

對於企業要如何自保,趨勢科技也提出建議,針對使用Bash漏洞版本Linux的企業,應儘速將Bash升级至最新版本來修補該漏洞。至於尚未更新前,企業除了可部署最新IPS入侵偵測系統加強系統保護外,也可將預設的Bash Shell關閉,針對原先使用Bash程式部份,改用其他Shell來重新撰寫執行程式,降低駭客經由遠端入侵的風險。


Advertisement

更多 iThome相關內容