• 媒体品牌
    爱范儿
    关注明日产品的数字潮牌
    APPSO
    先进工具,先知先行,AIGC 的灵感指南
    董车会
    造车新时代,明日出行家
    玩物志
    探索城市新生活方式,做你的明日生活指南
  • 知晓云
  • 制糖工厂
    扫描小程序码,了解更多

Shellshock:比心脏出血漏洞还要严重

公司

2014-09-26 08:19

今年 4 月,开源加密库 OpenSSL 的 Heartbleed 安全漏洞震惊了互联网。由于 OpenSSL 被广泛用于互联网的安全套接层协议,因此,这次安全危机牵涉到诸多网站,还影响到一些知名的软件、操作系统和固件。据报道,漏洞爆出之日,17% 的可信 Https 站点都存在此安全隐患。当时,网站安全专家们称其为 “灾难性” 的,甚至是 “互联网允许商业使用后所发现的最严重的漏洞”。

这个漏洞的出现,还暴露出一个令人震惊的事实。OpenSSL 获得了如此广泛的使用,但是,负责维护的只有四人(一人是全职),而且长期处于资金不足的状态。随后,微软、Google、Facebook 等科技巨头成立非盈利组织 Core Infrastucture Intiative,以资助网络上的重要项目。

如今,大多数网站已经修复了心脏流血漏洞,度过了一场严重的危机。只是,让人没有想到的是,仅仅几个月后,另一场安全危机又突然来临了,而且比上次还要严重。Red Hat 安全团队在 Bash Shell 中发现了一个超级严重的漏洞。这个漏洞被命名为 “Shellshock”。据 FT 中文网的报道,此漏洞已经引起了国家安全机构的高度重视。

据安全分析人士介绍,就连技术含量最高的政府和军方系统也因 Shellshock 的存在而变得脆弱。随着敌对国家的政府和犯罪组织寻求利用这个安全漏洞,一些网络攻击正在进行中。

周三,美国国土安全部 (Department of Homeland Security) 确认了这个漏洞的存在,并向全美各地的公共和私人部门机构发出警告。

“利用这一漏洞,可能让远程攻击者得以在受影响的系统上执行任意代码,” 美国国土安全部表示。也就是说,这个漏洞让潜在攻击者不受阻碍地进入计算机系统,无论其目的是利用犯罪手段获利,从事间谍活动还是搞破坏。

美国国土安全部的国家网络安全部门对 Shellshock 的可利用性打分为 10 分(总分 10 分),影响打分为 10 分(总分 10 分),总体严重性的打分也是 10 分,即最具破坏力的评分。相比之下,“心脏出血” 只得到 5 分。英国网络安全机构——政府通信总部 (GCHQ) 周三向英国机构发出警告,称这个漏洞影响国家关键基础设施。

要理解 Shellshock 的严重性,首先要知道什么是 Bash Shell。在类 Unix 系统中,Shell 是操作系统最外面的一层,管理用户与操作系统之间的交互。它类似于 DOS 下的 command,接收用户命令,然后调用相应的应用程序。Shell 有很多种,但是 Bash Shell 是大多数 Linux 系统和 Mac OS X 默认的 Shell。由于许多网络服务器使用了 Linux 系统,因此,这个漏洞的影响是相当广泛的。

除了网络服务器之外,其它的联网设备也会受到影响,包括路由器、网络摄像头、智能灯泡等,因为它们的软件中大量使用了 Bash 脚本。ErrataSec 安全专家的 Robert Graham 认为 ,Shellshock 漏洞比心脏流血漏洞还要严重,而且,心脏流血漏洞只影响某个版本的 OpenSSL,Shellshock 漏洞存在的时间要长久多了,修复起来也更加困难。

一个主要的担忧是,攻击者可能利用 Shellshock 来传播蠕虫病毒,影响数量众多的计算机。攻击者也可能利用该漏洞突破公司的防火墙,造成难以估量的严重后果。

目前,Rat Hat 发布了一个补丁,但随后又警告说,补丁并不完整。不过,即使有了完整的补丁,修复如此众多的漏洞也是一件难事,特别是一些老设备是打不了补丁的。“我们永远无法完整统计出受到该漏洞影响的所有软件,” Gramham 对 Cnet 网站说,“当已知系统(比如你的网络服务器)打上补丁后,那些未知的系统仍然是有漏洞的。我们已经看到心脏流血漏洞的情况了:六个月过去了,数以万计的系统仍然存在安全漏洞。”

Berkeley ICSI 的研究院 Nicholas Weaver 同样表达了悲观态度。他对 Verge 网站说,这个漏洞 “隐蔽、丑陋,而且会伴随我们许多年。”

图片来自 gawker

登录,参与讨论前请先登录

评论在审核通过后将对所有人可见

正在加载中