當 2014 年爆發 Shellshock 漏洞時,資安研究人員第一時間就跳出來回應。當大多數的 Unix、Linux 及 Mac OSX 作業系統皆普遍使用的 Bash指令列介面程式爆發嚴重漏洞時,研究人員同樣也迅速著手研究網站伺服器可能如何遭到該漏洞的攻擊。Shellshock 漏洞發現當時,全球約有五億台裝置和系統受到威脅。
而研究人員擔心的問題也很快就應驗,網路犯罪集團迅速將 Shellshock 整合至現有的攻擊當中,使得一些使用 Bash 指令列介面程式 (至今已有 25 年歷史) 的裝置和伺服器瞬間陷入危機。就在該漏洞曝光的幾小時後,趨勢科技研究人員就在網路上發現針對此漏洞的攻擊。趨勢科技在一個樣本當中發現了 ELF_BASHLITE.A 惡意程式,它不僅可讓歹徒從遠端存取電腦,還可發動分散式阻斷服務 (DDOS) 攻擊。
當時許多企業也迅速做出回應,這或許是因為有了幾個月前的 OpenSSLHeartbleed心淌血漏洞的經驗。加拿大政府也預防性地將某些含有漏洞的系統下線。此外,美國聯邦金融機構檢查委員會 (FFIEC) 也警告金融機構應小心Shellshock 的危險,而英國國家電腦緊急應變小組 (CERT-UK) 也對該漏洞發出警訊。
有關 Shellshock 可能造成網站安全問題的疑慮甚囂塵上,因為,歹徒只需幾行程式碼就能入侵含有漏洞的伺服器。經過一番測試之後我們發現,並非所有使用 Bash 的系統都有可能遭到遠端攻擊,只有預設使用 Bash 為指令列介面程式的作業系統才會遭到攻擊。
Shellshock 帶來的恐懼仍持續至今
就在漏洞曝光的一星期之後,更多 Bash 相關漏洞和惡意程式相繼出現。Shellshock 曾被用於 DDoS 攻擊,一家知名的雲端服務被用來攻擊其他伺服器,包括某政府機關的伺服器在內。此外,巴西的政府單位和中國一家金融機構也遭到此漏洞攻擊。另一個相關的惡意程式還會下載 KAITEN 惡意程式的原始碼,此程式專門用於 DDoS 攻擊。除了攻擊伺服器和裝置之外,Shellshock 攻擊也可能影響分配用戶端 IP 位址的 DHCP 通訊協定,以及電子郵件的 SMTP 傳輸協定。
事隔一年之後,這份恐懼已經漸漸消退,但威脅卻依然存在。Shellshock 相關的攻擊仍持續肆虐數位世界。從2015年第二季起,趨勢科技已發現超過 70,000 次使用 Shellshock 漏洞的攻擊以及大約 100,000 次使用Heartbleed心淌血漏洞的攻擊。我們刻意架設了一個含有 Shellshock 漏洞的誘捕網路,光在過去 15 天內即遭到 50 次攻擊。
Shellshock 相關的感染已蔓延全球。與一年前的情況相比,今日受害最嚴重的地區仍大致維持不變。當年 Shellshock 曝光後的第一個月,絕大多數受感染的電腦都分布在亞洲 (34%)、歐洲 (34%) 和北美 (11%)。過去一個月,絕大部分受感染的電腦還是分布在亞洲 (46%)、歐洲 (23%) 和北美 (14%)。亞洲地區感染率較高的原因很可能是系統修補作業較未能落實的緣故。
儘管目前 Shellshock 漏洞仍未出現重大攻擊,但這仍無法掩蓋它是一項普遍性漏洞的事實,而且歹徒有可能利用它來製造真實的傷害。它可用於取得遠端存取權限、發動 DDoS 攻擊、散布惡意程式、竄改並汙損網站、建立「Botnet傀儡殭屍網路」、竊取資料、散發垃圾郵件和網路釣魚郵件,以及執行其他惡意指令。只要駭客的想像力夠豐富,就有無限的方式可攻擊任何使用 Bash 的應用程式和連網裝置,包括:路由器、IP 攝影機、網路閘道 (如 Citrix 的 NetScaler、F5 的 BIGIP 及 Cisco 的產品),以及網站 CGI 程式。
開放原始碼:門戶洞開
二十多年前,當 Brian Fox 和 Richard Stallman 在開發 Bash 的時候,他們萬萬沒想到自己的作品將會成為今日網際網路的基石之一。在當年,軟體漏洞並非一項迫切的問題。但今日,一個多年來未修補的漏洞卻讓數以百萬計的網路暴露在駭客入侵的危險當中,而這還只是個開端。
Heartbleed心淌血漏洞 和 Shellshock 所帶來的恐懼,使得開放原始碼社群又發掘了其他幾個漏洞。我們觀察了一下漏洞數量之後注意到一件事,在今年 8 月份截止所發現的 4,310 個 CVSS 漏洞當中,有 29 個是 OpenSSL 漏洞。這數字已經超過了 2014 年所發現的 OpenSSL 漏洞總數 (24 個)。
就在Shellshock 發現的幾星期後,Google 研究人員發現了一個針對 SSL 3.0 安全連線通訊協定的攻擊,叫做 POODLE。他們發現駭客有可能挾持網路交易連線並竊取信用卡資訊。就像 Shellshock 漏洞一樣,POODLE 漏洞攻擊也是存在於一項由來已久 (精確來說是 15 年) 的技術。
另一項 90 年代的遺物也在大學與產業研究專家發現了 FREAK 攻擊之後登上檯面,這次是 TLS/SSL 安全認證通訊協定。大約 10% 的頂層網域以及 Android 和 Safari 瀏覽器都因為這項 90 年代的「出口級」加密標準而陷入危險。
研究人員在今年 5 月發現了另一個稱為 Logjam 的攻擊,也同樣是因為加密安全等級不足而引起。歹徒可降低安全連線 (如 HTTPS、SSH 和 VPN) 的加密等級,然後再加以破解,進而讀取原本應該安全的加密流量。
企業和使用者應該擔心的還不只是 OpenSSL 漏洞的數量而已。過去一年,相繼出現了多個 CVSS 等級 10.0 的漏洞,也就是很容易從遠端發動攻擊,而且不需安全認證,其中包括:Windows Secure Channel (Schannel)、網站應用程式或工具 (如 phpMoAdmin 及 Magento),以及一個 Windows 群組原則漏洞 (MS15-011),而且該漏洞在 Windows 2003 上無解。
今日的裝置和伺服器是否有變得更安全呢?
根據上述觀察,我們認為 Shellshock 、Heartbleed心淌血漏洞 以及其他開放原始碼平台的漏洞,讓一些資安產業已不再關注的陳年問題浮上檯面。使得研究人員開始討論是否該建立一套更好的漏洞揭露機制,尤其是數以百萬計的連網系統所使用的老舊軟體。這些問題必須攤在陽光之下才能獲得解決。
不過,光是發現問題還不夠。這些漏洞讓駭客有更多管道可入侵網路。而含有漏洞的裝置和伺服器,除非完成修補作業,否則永遠無法倖免於攻擊。
但對於大多數企業來說,系統修補一直是個難解的問題。並非所有系統都能輕鬆地修補,尤其是老舊的軟體。多數的裝置和伺服器都有可能遭到駭客入侵。要妥善保護系統,IT 系統管理員應考慮部署可偵測及防範漏洞攻擊的多層式安全防護,例如趨勢科技雲端及資料中心防護、趨勢科技客製化防禦以及 趨勢科技 Vulnerability Protection當中的下列解決方案:
- Deep Security:主動式漏洞和威脅監控,迅速提供新的防護,有助於保護伺服器和資料中心,防範新、舊漏洞攻擊。
- Deep Discovery Inspector:特殊的偵測引擎與客製化沙盒模擬分析,可偵測潛在的漏洞攻擊,進而快速回應駭客攻擊。
- Vulnerability Protection:進階漏洞防護與虛擬修補技術,可在修補程式部署之前防範端點上未修補的漏洞遭到攻擊,也可防範已終止支援或無法修補的系統遭到攻擊,如目前仍在使用中的 Windows 2003。
原文出處:One Year After Shellshock, Are Your Servers and Devices Safer?
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
▼ 歡迎加入趨勢科技社群網站▼
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載