不知道是怎么一回事,似乎总是有另一场互联网安全灾难会出现在下一个拐角。几个月之前,每个人都为“心脏出血”漏洞感到恐慌。
现在出现的这个漏洞——Shellshock(正式的名称是CVE-2014-6271)是一个严重得多的安全漏洞——正在互联网上肆意横行。永远都不是恐慌的最佳时机,但是如果你感到气馁,我不会责怪你;因为我知道自己也正在气馁。
现在回想起来,对于心脏滴血漏洞的关切似乎放错了地方。这是由于可能导致信息泄露的漏洞虽然非常糟糕,但是它只会导致信息泄露,而且它比较难以利用。利用Shellshock漏洞可能的攻击面非常宽,而且它非常容易被利用,根据研究公司Fireeye的研究表明,这一漏洞已经被广泛使用,该公司表示他们已经观察到了几种形式的攻击:
◆恶意软件droppers
◆反向shells和后门
◆数据泄露
◆拒绝服务攻击(DDoS)
当然,不仅仅是Fireeye;每个人都在报告漏洞被利用的各种蛛丝马迹。看看Kaspersky、Trend Micro、HP Security Research和其他的一些网站吧。
说到惠普,他们的TippingPoint部门指出他们的网络IPS已经进行了更新,能够识别出已知的利用Shellshock漏洞的攻击。严格更新的IPS——不仅仅部署在网络周边,也部署在网络中重要的节点上——可以有效防护你的系统免受已知的Shellshock漏洞攻击。惠普当然不是唯一采用IPS的。请记住,IPS更多的是对于已知攻击方法的防护,而不是对于这个漏洞总体上的防御。
这种特殊的bug在Bash shell中存在的时间已经超过了二十年。这意味着情况非常糟糕。首先,它意味着一个极其重要而且极其流行的程序并没有经历过严谨的审查,或者说检查得非常马虎。当然还有很多其他类似的问题。如果其中有一些漏洞暗中被精心利用了很多年,请不要感到吃惊。事实上,如果Shellshock这个漏洞在以前被人利用过也不让人吃惊。
围绕着Shellshock可能会出现各种可怕的情景。并不局限于网络服务器攻击。Fireeye展示了不同类型的互联网服务,甚至包括DHCP和SSH也可能被利用来进行攻击,只要它们使用了Bash外壳,而它们往往如此。他们展示了自动点击欺诈、盗取主机密码文件、利用服务器进行拒绝服务(DDOS)攻击以及在没有运行任何恶意软件的服务器上建立shell的几种方法。
这个漏洞另一个讨厌的方面是有这么多的*NIX服务器都看不见/忘记了。这些服务器(通常)都没有定期运行的自动升级程序。心脏流血漏洞也是如此,但是OpenSSL在普及程度方面完全比不上Bash,即使是使用了OpenSSL,处理的往往也不是关键信息……
在最初的更新被证明并不足够之后,对开放源代码软件社区的信心已经很微弱了。Shellshock安全漏洞一直等到补丁就位了之后才被公布,但是很快进一步的研究就表明存在着更多相关的漏洞,这些漏洞也需要通过补丁修复。(目前Bash的版本已经解决了所有已知的漏洞——不过不包括任何一个未知的漏洞)。
当然,亡羊补牢就像是一个输家的比赛。如同心脏出血和很多较早期的安全漏洞危机已经证明的那样,如果你想要终结这种局面,就需要一个积极的审核政策和程序。正确执行这样的政策能够让你知道你的网络上软件的情况。你真的想要做到这一点,因为那些已经侵入你的网络的攻击者们可能也已经有一个了。你至少需要和他们的反应速度一样快。
每个人都同意这是一个苦差事,也同意这是最好的做法,但是很少有人有时间这样做。即使这种做法从很大程度上来说只是稍微好一点的应对方式,还是能够帮助发现网络中未经授权的软件,这是一个额外的好处。你对于自己拥有哪些软件、这些软件运行在哪里了解的越少,你花在应对Shellshock之类的危机的时间就越长。如果你的反应迟缓导致了客户或者第三方的损失,他们可以理直气壮地说你没有竭尽全力保护自己的系统。