Shellshock：比心脏出血漏洞还要严重

今年 4 月，开源加密库 OpenSSL 的 Heartbleed 安全漏洞震惊了互联网。由于 OpenSSL 被广泛用于互联网的安全套接层协议，因此，这次安全危机牵涉到诸多网站，还影响到一些知名的软件、操作系统和固件。据报道，漏洞爆出之日，17% 的可信 Https 站点都存在此安全隐患。当时，网站安全专家们称其为 “灾难性” 的，甚至是 “互联网允许商业使用后所发现的最严重的漏洞”。

这个漏洞的出现，还暴露出一个令人震惊的事实。OpenSSL 获得了如此广泛的使用，但是，负责维护的只有四人（一人是全职），而且长期处于资金不足的状态。随后，微软、Google、Facebook 等科技巨头成立非盈利组织 Core Infrastucture Intiative，以资助网络上的重要项目。

如今，大多数网站已经修复了心脏流血漏洞，度过了一场严重的危机。只是，让人没有想到的是，仅仅几个月后，另一场安全危机又突然来临了，而且比上次还要严重。Red Hat 安全团队在 Bash Shell 中发现了一个超级严重的漏洞。这个漏洞被命名为 “Shellshock”。据 FT 中文网的报道，此漏洞已经引起了国家安全机构的高度重视。

据安全分析人士介绍，就连技术含量最高的政府和军方系统也因 Shellshock 的存在而变得脆弱。随着敌对国家的政府和犯罪组织寻求利用这个安全漏洞，一些网络攻击正在进行中。

周三，美国国土安全部 (Department of Homeland Security) 确认了这个漏洞的存在，并向全美各地的公共和私人部门机构发出警告。

“利用这一漏洞，可能让远程攻击者得以在受影响的系统上执行任意代码，” 美国国土安全部表示。也就是说，这个漏洞让潜在攻击者不受阻碍地进入计算机系统，无论其目的是利用犯罪手段获利，从事间谍活动还是搞破坏。

美国国土安全部的国家网络安全部门对 Shellshock 的可利用性打分为 10 分（总分 10 分），影响打分为 10 分（总分 10 分），总体严重性的打分也是 10 分，即最具破坏力的评分。相比之下，“心脏出血” 只得到 5 分。英国网络安全机构——政府通信总部 (GCHQ) 周三向英国机构发出警告，称这个漏洞影响国家关键基础设施。

要理解 Shellshock 的严重性，首先要知道什么是 Bash Shell。在类 Unix 系统中，Shell 是操作系统最外面的一层，管理用户与操作系统之间的交互。它类似于 DOS 下的 command，接收用户命令，然后调用相应的应用程序。Shell 有很多种，但是 Bash Shell 是大多数 Linux 系统和 Mac OS X 默认的 Shell。由于许多网络服务器使用了 Linux 系统，因此，这个漏洞的影响是相当广泛的。

除了网络服务器之外，其它的联网设备也会受到影响，包括路由器、网络摄像头、智能灯泡等，因为它们的软件中大量使用了 Bash 脚本。ErrataSec 安全专家的 Robert Graham 认为 ，Shellshock 漏洞比心脏流血漏洞还要严重，而且，心脏流血漏洞只影响某个版本的 OpenSSL，Shellshock 漏洞存在的时间要长久多了，修复起来也更加困难。

一个主要的担忧是，攻击者可能利用 Shellshock 来传播蠕虫病毒，影响数量众多的计算机。攻击者也可能利用该漏洞突破公司的防火墙，造成难以估量的严重后果。

目前，Rat Hat 发布了一个补丁，但随后又警告说，补丁并不完整。不过，即使有了完整的补丁，修复如此众多的漏洞也是一件难事，特别是一些老设备是打不了补丁的。“我们永远无法完整统计出受到该漏洞影响的所有软件，” Gramham 对 Cnet 网站说，“当已知系统（比如你的网络服务器）打上补丁后，那些未知的系统仍然是有漏洞的。我们已经看到心脏流血漏洞的情况了：六个月过去了，数以万计的系统仍然存在安全漏洞。”

Berkeley ICSI 的研究院 Nicholas Weaver 同样表达了悲观态度。他对 Verge 网站说，这个漏洞 “隐蔽、丑陋，而且会伴随我们许多年。”

图片来自 gawker