伺服器上的 Shell 攻擊:Bash臭蟲「CVE-2014-7169」和「CVE-2014-6271」
繼四月的 Heartbleed心淌血漏洞之後,又出現一個重大漏洞! Bash Shell出現了一個嚴重的漏洞,這是大多數 Linux 套件內都有使用的軟體。此漏洞(編號為 CVE-2014-7169)可以讓攻擊者在受影響系統上執行指令。簡單的說,這就有辦法在使用這些Linux套件的伺服器上執行遠端程式碼。
這臭蟲(漏洞)是什麼?
*nix環境中最受歡迎的Shell有嚴重的漏洞,可以讓攻擊者穿過網路跟中間的防護來執行任意指令。最常見的是使用CGI的網頁伺服器環境。
Bash允許輸出Shell功能函數到其他bash程序。這是透過建立有功能函數定義的環境變數來做到。例如:
env ENV_VAR_FN=’() { <your function> };’
ENV_VAR_FN就是會被輸出到任何後起bash程序的功能函數。這看起來是個有用的功能,對吧?但在Bash實作上有個臭蟲,就是它會繼續讀取功能函數定義後的部分和執行定義後面的指令。在理想狀況下,它應該停止讀取定義以後的東西並加以忽略,不管之後是什麼,但是它沒有。
env ENV_VAR_FN=’() { <your function> }; <attacker code here>’
它如何跨越網路影響服務?
有鑑於Bash環境被用在許多設定內這現實,這包括了 CGI、ssh、rsh、rlogin等,這些服務都可能受到此臭蟲影響。任何會接受使用者輸入和將其輸入送到Bash環境的網頁伺服器也都會受此漏洞影響。CGI 環境底下的惡意請求會像是這樣子:
GET /<server path> HTTP/1.1
User-agent: () { :;}; echo something>/var/www/html/new_file
這會為攻擊者建立一個新檔案new_file。
網頁應用程式是此漏洞的最大受攻擊面。不過上述的其他幾個服務也有可能被應用類似的攻擊。
這可能造成什麼傷害?
上面例子只是展示了如何建立一個檔案,但實際上攻擊者可以執行任何Bash所可以接受的指令。這可能是修改網頁伺服器上的內容,變更網頁程式碼,變換網站外觀,從資料庫竊取使用者資料,變更網站上的權限,安裝後門程式等。
請記住,它會以網頁伺服器的運行使用者身份來執行。這使用者通常是httpd。要注意的是這漏洞並不會提升權限,但它可以和另一個本地漏洞共同運作來提升到root使用者權限。攻擊者合併不同漏洞攻擊來進入系統的手法並不少見。
Shell腳本程式在Linux上被廣泛的使用,這意味著有很多方法來觸發此漏洞。Bash被用在大多數Unix和Linux系統以及OS X上。Red Hat Linux,世界上最大的Linux供應商之一,在給其客戶的公告中說到:「由於Bash shell的普遍使用,這個問題很嚴重,必須認真對待。」
此外,因為Linux(也就是說,有用Bash)被用在許多嵌入式物聯網(IoT/IoE)設備上,這些設備會帶有此漏洞以及困難到無法修補的風險也不能排除。最後,有新聞指出比特幣/比特幣採礦也可能遭受此安全問題影響。
受影響的 Bash版本有哪些?
直到並包括4.3的Bash版本都會受此漏洞影響。想要確認,請檢查你的*nix廠商網站來確認修補版本。Redhat的客戶可以參考這裡。
我現在該怎麼做?
首要之務是升級Bash到最新版本。有鑒於此攻擊的層級,請變更你的SSH金鑰來確保你網頁伺服器的完整性,因為它們可能已經被竊。最好也要變更登入憑證並檢查資料庫日誌以查看是否有任何大規模資料查詢動作執行。
我該如何知道被利用此漏洞攻擊?
如果你仔細檢查你的網頁伺服器日誌,在很多狀況下你都可以識別這種攻擊的痕跡。在存取記錄中查找() {字串。此外,有些錯誤會被記錄在error_log。不過請注意,在某些情況下你並無法發現此種攻擊的痕跡。
趨勢科技Deep Security 的客戶可以使用完整性監控來檢查日誌並確保網頁伺服器內容的完整性不受影響。
趨勢科技提供哪些針對此漏洞的防護?
趨勢科技 Deep Security 的客戶必須更新DSRU14-028並啟用以下規則:
- 1006256 – GNU Bash Remote Code Execution Vulnerability
趨勢科技會持續提供關於此漏洞的更新,使用者可以的到這裡來獲得最新資訊。
@原文出處:Bash Vulnerability Leads to Shellshock: What it is, How it Affects You作者:Pavan Thorat和Pawan Kinger(趨勢科技Deep Security實驗室)