在AusCERT(澳大利亚计算机应急响应小组)公布Bash的漏洞利用后,修补该0day已经刻不容缓。
这似乎印证了某名研究员通过Yinette发布的相似成果,该研究员找出了一个恶意软件,其指向了漏洞传播的一个恶意爬虫。
其他研究人员,包括卡巴斯基实验室的David Jacoby,以及Errata Security的Robert Graham也告诫说,Bash漏洞是蠕虫式传播且不可避免的。研发出网络扫描器Masscan的Graham,早些时候在一篇针对漏洞系统的研究上发布了报告,采样中80端口发现3000个漏洞系统。他说,嵌入式Web服务器和其他如DHCP之类的服务器,正处于威胁之中(小编注:危险并不浮于表面!)。
“即使我的轻量级扫描只发现了3000个结果,这也能证明其为蠕虫型传播的,而且它可以轻易穿过防火墙,从而感染大量系统。”,Graham写道,他补充说他当时故意限制了扫描程度,其中包括从漏洞服务器Ping回其本机。
“有一个关键性问题,那就是Mac OS X和iphone DHCP服务是有漏洞的–一旦蠕虫跑到防火墙后面,运行的DHCP服务器,很容易就会造成大型局部网络的崩溃。”
该漏洞利用在Yinette披露,而其在VirusTotal的检测率为0,已被冠以漏洞编号CVE-2014-6271。大多数Linux发行版本的漏洞补丁已于昨日发布,但是红帽公司却发布了一个公告警示,该补丁打得并不完全,更改环境变量可能会导致任意代码执行。由此产生的新漏洞编号为CVE-2014-7169,其中详细阐释了这个情况。红帽公司表示它会发布一个新的补丁。
播客:Digital Underground电台–Bash漏洞的David Jacoby
http://trtpost.wpengine.netdna-cdn.com/files/2014/09/David-Jacoby-on-the-Bash-Exploit.mp3
Bash(Bourne again shell),是一个适用于大多数Linux发行版、UNIX、Mac OS X系统的嵌入式命令行shell程序。上面提到的漏洞能静默访问Bash的各种功能,这让全面修补漏洞成了一个难题。该漏洞允许攻击者远程连接,从而调用Bash执行变量。
“这是显而易见的,Bash的每个版本都会有漏洞”,昨日红帽的安全产品经理Josh Bressers告诉Threatpost的记者,“情况非常严重,但你需要在特殊情况下来酝酿攻击–远程用户有权限设置环境变量。谢天谢地,其影响范围不大。”
以Apache服务器上为例,如果其在Bash里使用mod_cgi或者mod_cgid脚本运行,可能会出现的一些更严重的实例。Bressers说,该漏洞也可以被用于穿过sshd配置的ForceCommand。ForceCommand本应该限制远程执行代码,该漏洞可以绕过它的保护。一些针对SSH的Git部署在这种情况下会受到影响。
该漏洞是由Akamai公司的Stephane Chazelas发现的,人们已经将其与心脏出血漏洞相媲美。如心脏出血漏洞一样,处于危险的并不是那些能轻易发现并打上补丁的web服务器,而是那些嵌入式系统和面向网络的设备上的大量软件包。
“这不像心脏出血,只影响特定版本的OpenSSL,这个Bash漏洞已经延续了很长很长一段时间,”Graham写道。“这意味着许多网络中的老旧设备都有这个漏洞。像这样的需要打上补丁,但却因为限制无法实施的系统数量,会比心脏出血漏洞多很多。”
[参考信息来源threatpost.com]