2014年9月24日，Bash被曝光存在任意命令執(zhí)行漏洞，漏洞編號為CVE-2014-6271，影響范圍非常大：Bash <= 4.3。破殼漏洞(ShellShock)的嚴重性被定義為10 級(最高)，今年4 月爆發(fā)的OpenSSL“心臟出血”漏洞才5 級!GNU Bash Shell作為一種被廣泛應用在Linux和Unix家族中的命令行解析器，使該漏洞會影響大量基于Linux/Unix的設備，可能受影響的有：

　　此漏洞可以繞過ForceCommand在sshd中的配置，從而執(zhí)行任意命令;

　　如果CGI腳本用bash或subshell編寫，則使用mod_cgi或mod_cgid的

　　Apache服務器會受到影響;

　　DHCP客戶端調(diào)用shell腳本來配置系統(tǒng)，可能存在允許任意命令執(zhí)行，尤其

　　作為根命令的形式，在DHCP客戶端的機器上運行;

　　各種daemon和SUID/privileged的程序都可能執(zhí)行shell腳本，通過用戶

　　設置或影響環(huán)境變數(shù)值，允許任意命令運行。

　　破殼漏洞不僅是一個危害極大的漏洞，并且破殼漏洞的探測方式很復雜，不同的組件測試方式有所區(qū)別，很難評估一個影響面，但是可以肯定的是Bash<=4.3 版本都受影響，而Bash 在至少百億級別數(shù)量的設備上使用，因為Bash 是最流行的Linux Shell。安全狀況令人堪憂，加速樂的安全團隊第一時間通過幾種方式的組合檢測，得到了些影響結論：

　　一.某知名交付管理系統(tǒng)在全中國氛圍內(nèi)有13254 臺設備受到破殼漏洞影響，可被直接遠程攻擊;

　　二.全球大概存在142000 主機受影響，需要注意的是由于Fuzzing 規(guī)則不完備，得到的數(shù)量肯定會不完備，但這個數(shù)字至少可以看到可被直接遠程攻擊利用的面非常之大;

　　三.對主機的80 端口進行直接請求，發(fā)現(xiàn)至少150 萬網(wǎng)站、網(wǎng)關、郵件系統(tǒng)、安全設備受到影響。

　　加速樂團隊連夜奮戰(zhàn)，截止2014/9/26中午，已攔截了1759 次破殼漏洞攻擊!

　　從圖中可見，加速樂團隊在漏洞爆發(fā)之前就已經(jīng)添加規(guī)則。25日的攔截情況如下：

　　總共攔截數(shù)：1,759 次

　　受攻擊站點數(shù)：214 個

　　攻擊成功站點數(shù)：0 個

　　發(fā)起攻擊IP 數(shù)：6 個

　　通過加速樂的連夜分析，還發(fā)現(xiàn)破殼漏洞的蠕蟲(代碼：https://gist.github.com/anonymous/929d622f3b36b00c0be1)已經(jīng)開始全球蔓延，應該是利用masscan 來進行大規(guī)模植入的。并且DHCP 服務受影響，這意味著這個破殼漏洞絕不僅Linux 服務器的事!

　　加速樂表述，現(xiàn)在暫時還沒有最靠譜的通用修復方案，請站長們關注Bash 的下一次升級。

最新評論