【2014 年 9 月 29日台北訊】隨著 Shellshock (即 Bash 漏洞) 的安全疑慮逐漸攀升,全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 率先提供一系列免費工具來讓大眾掃瞄自己的 OSX 和 Linux 伺服器以保護伺服器與網站使用者的安全。此漏洞很可能對全球近五億台的網站伺服器以及手機、路由器和醫療裝置等各種連上網際網路的裝置造成威脅。
趨勢科技執行長陳怡樺表示:「此問題的嚴重性很可能迅速攀升,因此我們立即採取了預防性措施來防止這個前所未有的漏洞,保障大眾安全。我們相信,對科技使用者來說,最有效的作法是謹慎面對,並且利用趨勢科技和其他廠商所提供的資源來建立一道堅固的防線。我們也希望能藉由提供免費工具給客戶及社會大眾來防範這波疫情爆發。」
本週媒體大量報導的 Shellshock (即 Bash 漏洞) 是一個可讓歹徒從遠端執行 Linux 指令的漏洞,其影響遍及全球絕大多數的網站伺服器,還有連上網際網路的 Mac OSX 平台裝置。我們提供的免費工具 BashLite Malware Scanner 即可檢查您的 Linux 系統上是否含有 BashLite 惡意程式。
趨勢科技技術長 Raimund Genes 指出:「Shellshock 很可能比今年稍早的 Heartbleed心淌血漏洞散布得更廣,它不僅與 Heartbleed 的性質和行為截然不同,而且威脅更為嚴重。」
趨勢科技的全方位策略是試圖控制疫情並架好防禦,包括提供工具讓 IT 系統管理員掃瞄及保護伺服器,例如網站安全與惡意程式防護工具,進而保護一般使用者。
企業伺服器和使用者:
- Deep Security as a Service:立即為含有此漏洞的伺服器提供虛擬修補,自動防範 Shellshock 威脅。
- Deep Discovery 網路監控:偵測網路上是否有任何利用 Shellshock 漏洞的攻擊,並且即時提醒 IT 管理員注意可疑的系統入侵行為。
- Interscan Web Security:在一般使用者連上某個趨勢科技判定含有 Bash 漏洞的網站時顯示通知。
一般消費者:
- 趨勢科技免費的 PC、Mac 及 Android 偵測工具:這些工具可在一般使用者瀏覽到某個趨勢科技判定含有 Bash 漏洞的網站時提出警訊,協助使用者遠離威脅。
請至以下網址下載這些工具:
https://www.trendmicro.tw/tw/security/shellshock-bash-bug-exploit/personal-device-tools/index.html
至於那些無法採用趨勢科技防範措施來防止Shellshock (即 Bash 漏洞) 的企業和一般使用者,趨勢科技威脅專家提供了下列建議來減輕其威脅:
- 一般使用者應隨時注意是否有 Mac OSX 手機的修正程式並立即套用。
- Linux 系統管理員應考慮採用虛擬修補防禦措施,直到廠商釋出修補程式為止。
- 使用 Linux/Apache 組合的網站伺服器若運用到 Bash 程序檔 (script),系統管理員應考慮重新修改這些程序檔,改以 Bash 之外的指令列介面程式,直到修補程式出現為止。
- 使用代管式服務的客戶應向廠商詢問其服務是否受此漏洞影響,以及他們有何因應計劃。
趨勢科技研究員正密切關注此漏洞的最新發展,並且觀察疫情是否可能進一步升高。趨勢科技的專家也在部落格上詳細說明了這項漏洞,也提出了防範的建議。
除此之外,趨勢科技也提供了一份圖文解說來解釋這項漏洞的運作方式,請參閱:https://blog.trendmicro.com.tw/wp-content/uploads/2014/09/About-the-Shellshock-Vulnerability-The-Basics-of-the-Bash-Bug.jpg。
如需更多進一步資訊,請至:https://blog.trendmicro.com.tw/?cat=1761
如需趨勢科技提供的 Shellshock 漏洞免費防護,請至:
https://www.trendmicro.tw/tw/security/shellshock-bash-bug-exploit/bash-lite-tools/index.html
趨勢科技會持續提供關於此漏洞的更新,使用者可以的到這裡來獲得最新資訊。
