Shellshock漏洞屆滿一年,您的伺服器和裝置是否更安全了呢?

2014 年爆發 Shellshock 漏洞時,資安研究人員第一時間就跳出來回應。當大多數的 Unix、Linux 及 Mac OSX 作業系統皆普遍使用的 Bash指令列介面程式爆發嚴重漏洞時,研究人員同樣也迅速著手研究網站伺服器可能如何遭到該漏洞的攻擊。Shellshock 漏洞發現當時,全球約有五億台裝置和系統受到威脅。red alret 紅色警戒 資安/病毒漏洞警告

而研究人員擔心的問題也很快就應驗,網路犯罪集團迅速將 Shellshock 整合至現有的攻擊當中,使得一些使用 Bash 指令列介面程式 (至今已有 25 年歷史) 的裝置和伺服器瞬間陷入危機。就在該漏洞曝光的幾小時後,趨勢科技研究人員就在網路上發現針對此漏洞的攻擊。趨勢科技在一個樣本當中發現了 ELF_BASHLITE.A 惡意程式,它不僅可讓歹徒從遠端存取電腦,還可發動分散式阻斷服務 (DDOS) 攻擊。

當時許多企業也迅速做出回應,這或許是因為有了幾個月前的 OpenSSLHeartbleed心淌血漏洞的經驗。加拿大政府也預防性地將某些含有漏洞的系統下線。此外,美國聯邦金融機構檢查委員會 (FFIEC) 也警告金融機構應小心Shellshock  的危險,而英國國家電腦緊急應變小組 (CERT-UK) 也對該漏洞發出警訊

有關 Shellshock 可能造成網站安全問題的疑慮甚囂塵上,因為,歹徒只需幾行程式碼就能入侵含有漏洞的伺服器。經過一番測試之後我們發現,並非所有使用 Bash 的系統都有可能遭到遠端攻擊,只有預設使用 Bash 為指令列介面程式的作業系統才會遭到攻擊。

Shellshock 帶來的恐懼仍持續至今

就在漏洞曝光的一星期之後,更多 Bash 相關漏洞和惡意程式相繼出現。Shellshock 曾被用於 DDoS 攻擊,一家知名的雲端服務被用來攻擊其他伺服器,包括某政府機關的伺服器在內。此外,巴西的政府單位和中國一家金融機構也遭到此漏洞攻擊。另一個相關的惡意程式還會下載 KAITEN 惡意程式的原始碼,此程式專門用於 DDoS 攻擊。除了攻擊伺服器和裝置之外,Shellshock 攻擊也可能影響分配用戶端 IP 位址的 DHCP 通訊協定,以及電子郵件的 SMTP 傳輸協定。

事隔一年之後,這份恐懼已經漸漸消退,但威脅卻依然存在。Shellshock 相關的攻擊仍持續肆虐數位世界。從2015年第二季起,趨勢科技已發現超過 70,000 次使用 Shellshock 漏洞的攻擊以及大約 100,000 次使用Heartbleed心淌血漏洞的攻擊。我們刻意架設了一個含有 Shellshock 漏洞的誘捕網路,光在過去 15 天內即遭到 50 次攻擊

Shellshock 相關的感染已蔓延全球。與一年前的情況相比,今日受害最嚴重的地區仍大致維持不變。當年 Shellshock 曝光後的第一個月,絕大多數受感染的電腦都分布在亞洲 (34%)、歐洲 (34%) 和北美 (11%)。過去一個月,絕大部分受感染的電腦還是分布在亞洲 (46%)、歐洲 (23%) 和北美 (14%)。亞洲地區感染率較高的原因很可能是系統修補作業較未能落實的緣故。

圖 1:2014 年 9 至 10 月受 Shellshock 影響的地區,亞洲居冠。
圖 1:2014 年 9 至 10 月受 Shellshock 影響的地區,亞洲居冠。

 

圖 2:2015 年 8 至 9 月受 Shellshock 影響的地區,亞洲居冠。
圖 2:2015 年 8 至 9 月受 Shellshock 影響的地區,亞洲居冠。

 

儘管目前 Shellshock  漏洞仍未出現重大攻擊,但這仍無法掩蓋它是一項普遍性漏洞的事實,而且歹徒有可能利用它來製造真實的傷害。它可用於取得遠端存取權限、發動 DDoS 攻擊、散布惡意程式、竄改並汙損網站、建立「Botnet傀儡殭屍網路」、竊取資料、散發垃圾郵件和網路釣魚郵件,以及執行其他惡意指令。只要駭客的想像力夠豐富,就有無限的方式可攻擊任何使用 Bash 的應用程式和連網裝置,包括:路由器、IP 攝影機、網路閘道 (如 Citrix 的  NetScaler、F5 的 BIGIP 及 Cisco 的產品),以及網站 CGI 程式。 Continue reading “Shellshock漏洞屆滿一年,您的伺服器和裝置是否更安全了呢?”

Shellshock 新式攻擊針對SMTP伺服器,台灣為存取惡意網站最多的國家

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功,就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己,這很有可能是潛伏在雷達之下而不被偵測的方法。

下圖描述了攻擊的週期。

 

圖一、SMTP攻擊圖解

 

  1. 攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
  2. 攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
  3. 當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時,內嵌的Shellshock惡意程式碼就會被執行,然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
  4. 攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動,如發動垃圾郵件攻擊活動。

 

可能有漏洞的郵件伺服器

趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。

  1. qmail郵件傳輸代理程式(MTA)

.qmail是控制電子郵件傳輸的UNIX設定檔,也負責去執行Bash shell指令。可以設定它去啟動程式,一旦它呼叫了Bash,攻擊就算成功了。(這攻擊需要qmail MTA上有效收件者具備.qmail檔,而且.qmail檔包含任意派遞程式)。

  1. 第四版前的exim MTA

第四版的exim開始,pipe_transport不會呼叫Shell來擴展變數和組合指令。

  1. 使用procmail的Postfix:Postfix MTA會調用procmail,一個郵件傳遞代理程式(MDA)。MDA被用來排序和過濾寄入的郵件。

Postfix沒有明顯的Shellshock漏洞。然而procmail(一種郵件傳遞代理程式)本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式,導致了可被攻擊的Shellshock漏洞。

注:Debian/Ubuntu的Postfix預設將procmail設在main.cfmailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。

 

攻擊分析

根據趨勢科技的分析,如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行,攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式:

  • hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
  • hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
  • hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

 

到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案,只是名稱不同。

圖2、「JST Perl IrcBot」下載的程式原始碼

 

「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制(C&C)IRC伺服器。殭屍程式會執行以下行為,危害受影響系統的安全:

  • 從網址下載檔案
  • 發送郵件
  • 掃描端口
  • 執行分散式拒斷服務(DDoS)攻擊
  • 執行Unix指令

這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。

圖3、存取惡意軟體網站最多的國家

Continue reading “Shellshock 新式攻擊針對SMTP伺服器,台灣為存取惡意網站最多的國家”

Shellshock /Bash 漏洞有多糟糕?

Bash漏洞(又被稱為Shellshock)剛被報導沒多久,趨勢科技就已經看到一些攻擊用它來植入DDoS惡意軟體到Linux系統上。然而,鑒於此漏洞的嚴重性,我們幾乎可以肯定還會看到更大、更嚴重的攻擊出現。我們可能看到的情景有哪些呢?

red alret 紅色警戒 資安/病毒漏洞警告

伺服器

目前網頁服務器遭受漏洞攻擊的風險最高。現在CGI腳本是最可靠也最被詳盡說明的漏洞攻擊方式。如同我們早前文章所提到,趨勢科技已經看到此類攻擊出現在現實世界中。我們預期之後將會看到更多相關攻擊。

網頁伺服器被入侵對於組織的危害有可能會很嚴重。淪陷的伺服器可以變成攻擊者進入組織網路的進入點。攻擊者可以選擇在受影響伺服器上執行任何指令。Shellshock加上一些其他的提權漏洞就可以完全掌控受影響的伺服器。

然而,網頁伺服器並非唯一的高風險應用程式。SSH也可能會受到Shellshock影響。在這時候,任何使用Bash的Unix/Linux伺服器都處在危險之中。這些系統大多數都是預設使用Bash,只有一些例外。比方說FreeBSD的預設shell是tcsh。這Bash的替代品不被認為有此弱點。

端點

Shellshock對最終使用者來說可能不會有什麼危險。Windows系統不會受到Shellshock影響,因此這些系統的使用者不會直接受到此問題危害。

目前的數據顯示約有10%的個人電腦使用某種形式的Linux或Max OS X。這些作業系統可能有Shellshock的漏洞,雖然對此進行漏洞攻擊有些困難。端點系統通常不會運行可以讓攻擊者輕易存取到的網路服務(如HTTP伺服器),所以減低了風險。Mac應用程式並不像Unix/Linux應用程式那樣依賴shell腳本。不過因為SSH看來提供了遠端存取到Bash的可能管道,也讓它成為可能的感染載體。

對於最終使用者來說,最大的隱憂可能是透過運行在受影響路由器或網路熱點上的惡意DHCP伺服器。DHCP客戶端使用bash來配置系統設定;連到惡意DHCP伺服器的客戶端可能會在他們的系統上執行惡意指令。這在惡意的開放無線網路上特別容易做到。我們建議使用者連到無線網路時要多加小心,不過這也是一直以來最佳實作的一部分。(Mac OS X使用自己的DHCP客戶端,所以不受此漏洞影響。)

對於行動裝置來說,Android設備並不使用Bash shell,因此也不受此威脅影響。iOS設備也不會。不過越獄的iOS設備包括了一份Bash副本,這些設備就處在危險之中。同樣地,root過或修改過的設備會執行變種的 *nix系統(因此有用Bash)就可能會受到影響。

嵌入式設備/萬物聯網(IoE ,Internet of Everything)

許多組成物聯網的嵌入式設備都建立在嵌入式版本的Linux上,增加了它們可能會受攻擊的風險。這可能會讓設備上的資料被竊,以及讓設備本身成為「Botnet傀儡殭屍網路」的一部份,用到各種惡意活動上。

不過並非所有此類設備都使用Bash。許多此類設備使用的是BusyBox,其中並不含Bash。這些設備也不會受此漏洞影響。

診斷和修補受 Shellshock 影響的物聯網設備有極大的難度。可以用來檢查系統是否有此漏洞的標準測試也很難在嵌入式設備上執行。同樣地,許多物聯網廠商提供安全修補程式的記錄也不是很理想。這部分可能會對想要消除Shellshock危害的長遠目標造成重大問題。

 

現在最該擔心的是IT管理員, 趨勢科技提供 免費工具 給 IT管理員

在眼下,IT管理員對於面對網路提供服務的伺服器進行維護是處理此攻擊最該關心的事。正如我們在之前的部落格文章中提到,大多數廠商現在都已經提供修補程式來關閉此安全性漏洞。 Continue reading “Shellshock /Bash 漏洞有多糟糕?”

ShellShock  (即 Bash 漏洞) 威脅全球近五億連網裝置 ,趨勢科技提供免費工具

【2014 年 9 月 29日台北訊】隨著 Shellshock (即 Bash 漏洞) 的安全疑慮逐漸攀升,全球資安軟體及解決方案領導廠商趨勢科技 (東京證券交易所股票代碼:4704) 率先提供一系列免費工具來讓大眾掃瞄自己的 OSX 和 Linux 伺服器以保護伺服器與網站使用者的安全。此漏洞很可能對全球近五億台的網站伺服器以及手機、路由器和醫療裝置等各種連上網際網路的裝置造成威脅。

red alret 紅色警戒 資安/病毒漏洞警告

趨勢科技執行長陳怡樺表示:「此問題的嚴重性很可能迅速攀升,因此我們立即採取了預防性措施來防止這個前所未有的漏洞,保障大眾安全。我們相信,對科技使用者來說,最有效的作法是謹慎面對,並且利用趨勢科技和其他廠商所提供的資源來建立一道堅固的防線。我們也希望能藉由提供免費工具給客戶及社會大眾來防範這波疫情爆發。」

本週媒體大量報導的 Shellshock (即 Bash 漏洞) 是一個可讓歹徒從遠端執行 Linux 指令的漏洞,其影響遍及全球絕大多數的網站伺服器,還有連上網際網路的 Mac OSX 平台裝置。我們提供的免費工具 BashLite Malware Scanner 即可檢查您的 Linux 系統上是否含有 BashLite 惡意程式。

趨勢科技技術長 Raimund Genes 指出:「Shellshock 很可能比今年稍早的 Heartbleed心淌血漏洞散布得更廣,它不僅與 Heartbleed 的性質和行為截然不同,而且威脅更為嚴重。」 Continue reading “ShellShock  (即 Bash 漏洞) 威脅全球近五億連網裝置 ,趨勢科技提供免費工具”

Shellshock/Bash漏洞攻擊持續出閘!!最新攻擊 針對中國金融機構

看起來Shellshock/ Bash 漏洞攻擊真正地開門出閘了。我們已經報導過不同的攻擊來利用Bash漏洞,從僵屍網路攻擊IRC僵屍機器人都有。

趨勢科技也發現了在巴西看到利用Shellshock漏洞來嘗試進行攻擊。看起來這些攻擊意圖並不僅限於該國家。我們看到另一波的Shellshock漏洞攻擊 – 這次是針對中國的金融機構。

red alret 紅色警戒 資安/病毒漏洞警告

趨勢科技的 Deep Discovery 偵測到此類攻擊意圖,並且發現攻擊者是想要嘗試多個屬於該機構的 IP 地址是否具有此 Shellshock漏洞,也就是 CVE-2014-06271。進一步的分析顯示有三個被測的IP地址可能有此漏洞,因為攻擊者試圖執行指令「/bin/uname –a」。指令「uname」會顯示系統資訊,包括作業系統平台、機器類型和處理器資訊。

乍一看,被取得系統資訊可能並無害處。但如同趨勢科技部落格在之前的文章中提過,資訊收集可能是為了準備更多破壞性計畫的指標。這指令可以為更大規模和更具破壞性的攻擊開道。

嘗試攻擊的時間很有意思,因為中國黃金週假期是從10月1日開始。所以這樣的嘗試很可能是在此假期間所進行攻擊的起始階段,因為網路系統管理員將在這段時候離開。

趨勢科技正在不斷地監視可能利用 Shellshock/Bash 漏洞 的攻擊,同時確保使用者和組織在現實世界中免受此類威脅攻擊。趨勢科技的 Deep Discovery 提供了網路層面的能見度和威脅情報,以偵測和回應針對性攻擊及進階威脅。  Continue reading “Shellshock/Bash漏洞攻擊持續出閘!!最新攻擊 針對中國金融機構”

有關 Shellshock (Bash 漏洞) 的一些基本資訊(含資料圖表)

有關 Shellshock (Bash 漏洞) 的一些基本資訊
點小圖可放大

就在幾個月前,Heartbleed心淌血漏洞才橫掃網際網路,現在又出現了另一個存在已久的廣泛性安全漏洞,名叫 Shellshock (亦稱為 Bash 漏洞),這一次,全球數以億計的伺服器和裝置及使用者都將受到威脅。Bash 漏洞之所以嚴重,是因為要利用它來發動攻擊輕而易舉,不需太大的專業技術能力。

這是什麼樣的漏洞?

Shellshock 是一個存在於 UNIX 類系統 Bash 指令列界面程式 (shell) 當中的漏洞。當今的 Bash 程式會讓使用者從遠端執行指令。如此一來,就能讓駭客在系統上執行惡意的程序檔 (script),等於讓駭客掌控了一切。此漏洞的影響非常廣泛,因為所有的 Linux、BSD 和 Mac OS X 作業系統都受到影響,光是 Linux系統就占了網際網路上絕大多數的伺服器,再加上各種 物聯網(IoT ,Internet of Things) 裝置。

威脅的影響範圍及對象?

Shellshock/ Bash 漏洞等於在系統上開了一個後門,讓駭客能夠從遠端執行指令、取得系統控制權、挖掘資料、竊取資料、篡改網站等等。絕大多數採用 Linux 作業系統的電腦和連網裝置,如路由器、Wi-Fi 無線基地台、甚至智慧型燈泡都受到影響。

Continue reading “有關 Shellshock (Bash 漏洞) 的一些基本資訊(含資料圖表)”

Shellshock持續造成IRC機器人的出現

愈來愈多攻擊利用此Shellshock/ Bash 漏洞 !!

在此漏洞被報導後僅僅幾個小時,所帶來的惡意軟體(如ELF_BASHLITE.A)就出現在威脅情勢中。其他的會帶來的惡意程式像是PERL_SHELLBOT.WZELF_BASHLET.A也在真實世界中出現,有能力去執行命令,從而危害系統或伺服器。

除了會帶來這些惡意軟體,也有針對已知機構進行DDoS攻擊的報告。經過我們的調查,我們發現到在巴西有漏洞攻擊的出現,去測試目標伺服器是否有漏洞。這意味著幕後的攻擊者可能是想要收集情報,一旦他們取得所需要的資訊,就可能去進行接下來的攻擊,進而去滲透入他們的目標網路。

趨勢科技的研究人員正在不斷地監視可能利用Shellshock/ Bash 漏洞。根據趨勢科技的調查,發現有活躍中的IRC機器人(網際網路中繼聊天)會去利用Bash漏洞。趨勢科技將此機器人偵測為PERL_SHELLBOT.CE。受感染的系統會透過端口5190連到IRC伺服器,us[點]bot[點]nu,加入IRC頻道 – #bash。接著它會等待來自遠端攻擊者的命令。它可以進行下列指令:

 

  • 執行DDoS攻擊
    • UDP
    • TCP
    • HTTP
  • 透過大量的CTCP、訊息、通知來造成IRC重啟或斷線
  • 下載任意檔案
  • 連到伺服器(IP地址:端口)
  • 掃描開啟端口(<IP>)
  • 寄送電子郵件(<主旨>,<寄件者>,<收件者> <訊息>)
  • Ping IP(<ip地址>,<端口>)
  • 解析DNS <ip/host>
  • 檢查機器人設定

Continue reading “Shellshock持續造成IRC機器人的出現”

Shellshock/bash 漏洞攻擊現身,ELF_BASHLITE.A可發動 DDoS 攻擊

Shellshock/bash 漏洞(包含在CVE-2014-7169)新聞爆發後短短幾個小時就出現了真實的漏洞攻擊事件。這一個漏洞可以讓人執行任意程式碼,從而影響系統安全。攻擊者可能做出的包括變更網站內容和網站程式碼、污損網站外貌,甚至是從資料庫竊取使用者資料以及其他更多事情。

趨勢科技發現了真實漏洞攻擊碼所帶來惡意軟體的樣本。偵測為ELF_BASHLITE.A(也被稱為ELF_FLOODER.W),此惡意軟體可以發動分散式阻斷服務(DDoS)攻擊。它所會執行的指令包括有:

  • PING
  • GETLOCALIP
  • SCANNER
  • HOLD 暫停或是延後攻擊一給定時間
  • JUNK 垃圾洪水攻擊
  • UDP 用UDP封包做分散式阻斷服務攻擊
  • TCP 用TCP封包做分散式阻斷服務攻擊
  • KILLATTK – 終止攻擊執行緒
  • LOLNOGTFO – 終止僵屍機器人

它也可以做到暴力法登入,讓攻擊者可以取得登入使用者和密碼的列表。根據我們的分析,ELF_BASHLITE.A也會連到 C&C伺服器 – 89[點]238[點]150[點]154[冒號]5。

點小圖可放大

圖1、威脅感染示意圖(點入以看大圖)

 

下面是用來帶入惡意軟體進到系統的程式碼:  Continue reading “Shellshock/bash 漏洞攻擊現身,ELF_BASHLITE.A可發動 DDoS 攻擊”

關於 Shellshock (bash 漏洞) 你該知道的事

red alret 紅色警戒 資安/病毒漏洞警告

Shellshock漏洞

本週又出現一個需要立即處理且影響廣泛的重大漏洞,或許,甚至比 Heartbleed心淌血漏洞的影響範圍更大,那就是Shellshock,而受影響的則是一個名為「bash」的開放原始碼程式。

bash是一個指令列介面程式 (shell),廣泛存在於 Linux、BSD 和 Mac OS X 作業系統,漏洞詳情請參閱 CVE–2014–7169

我們該關注的是,這個漏洞的存在非常普遍,潛在的損害也很嚴重,而且不需什麼高深技術就能加以利用。由於網際網路上一半以上的伺服器以及 Android 手機和物聯網 (IoT) 裝置都是以 Linux 系統為基礎,因此可想而知其影響範圍之廣。

不但如此,由於 Bitcoin 核心是利用 bash 來控制的,因此這個漏洞也會影響比特幣開採者以及其它比特幣相關系統,這當然也使得他們成為歹徒非常覬覦的攻擊目標。

趨勢科技已經在網路上見到一些攻擊案例

修補程式

某些 Linux 發行版本已釋出修補程式來暫時解決此漏洞的部分問題,趨勢科技建議大家盡快部署這些修補程式,並且隨時注意開發/研究人員何時釋出另一波修補程式來徹底解決此問題。至於 Android 手機和其他裝置,則要看生產的廠商是否釋出修補程式。

空窗期

從漏洞修補程式釋出到修補程式順利完全部署到你的環境,這之間總是會有一段空窗期。

這就是補強性安全機制發揮作用的時刻。針對此次的案例,你應該擁有一套入侵防護 (IPS) 或是其他網路層的經驗式防禦機制來監控你主機所收到的網路流量。

主機式防護可監控進出你主機的網路流量,發掘是否有任何嘗試攻擊的跡象,進而加以攔截,不讓攻擊得逞,有效地提供伺服器一種虛擬修補。此次漏洞的攻擊相對容易偵測,而且 IPS 應有能力在攻擊到達軟體之前預先加以攔截。

該怎麼做?

稍早的文章詳細說明了每一個人都應採取的防範步驟,同時也特別列出趨勢科技客戶可採取的步驟。

對於大多數受影響的發行版本來說,目前已有修補程式來解決該漏洞的部分問題,但更完整的解決方案目前仍在進行當中。

此問題非常緊急,你應該立即採取行動。所幸,其步驟也非常簡單: Continue reading “關於 Shellshock (bash 漏洞) 你該知道的事”

Shellshock 漏洞 猛烈來襲,網路用戶請全面戒備!

伺服器上的 Shell 攻擊:Bash臭蟲「CVE-2014-7169」和「CVE-2014-6271」

繼四月的 Heartbleed心淌血漏洞之後,又出現一個重大漏洞! Bash Shell出現了一個嚴重的漏洞,這是大多數 Linux 套件內都有使用的軟體。此漏洞(編號為 CVE-2014-7169)可以讓攻擊者在受影響系統上執行指令。簡單的說,這就有辦法在使用這些Linux套件的伺服器上執行遠端程式碼。


Bash Shell TM940x312_0926

 

這臭蟲(漏洞)是什麼?

*nix環境中最受歡迎的Shell有嚴重的漏洞,可以讓攻擊者穿過網路跟中間的防護來執行任意指令。最常見的是使用CGI的網頁伺服器環境。

Bash允許輸出Shell功能函數到其他bash程序。這是透過建立有功能函數定義的環境變數來做到。例如:

env ENV_VAR_FN=’() { <your function> };’

ENV_VAR_FN就是會被輸出到任何後起bash程序的功能函數。這看起來是個有用的功能,對吧?但在Bash實作上有個臭蟲,就是它會繼續讀取功能函數定義後的部分和執行定義後面的指令。在理想狀況下,它應該停止讀取定義以後的東西並加以忽略,不管之後是什麼,但是它沒有。

env ENV_VAR_FN=’() { <your function> }; <attacker code here>’

 

它如何跨越網路影響服務?

有鑑於Bash環境被用在許多設定內這現實,這包括了 CGI、ssh、rsh、rlogin等,這些服務都可能受到此臭蟲影響。任何會接受使用者輸入和將其輸入送到Bash環境的網頁伺服器也都會受此漏洞影響。CGI 環境底下的惡意請求會像是這樣子:

GET /<server path> HTTP/1.1

User-agent: () { :;}; echo something>/var/www/html/new_file

這會為攻擊者建立一個新檔案new_file

網頁應用程式是此漏洞的最大受攻擊面。不過上述的其他幾個服務也有可能被應用類似的攻擊。

 

這可能造成什麼傷害?

上面例子只是展示了如何建立一個檔案,但實際上攻擊者可以執行任何Bash所可以接受的指令。這可能是修改網頁伺服器上的內容,變更網頁程式碼,變換網站外觀,從資料庫竊取使用者資料,變更網站上的權限,安裝後門程式等。

請記住,它會以網頁伺服器的運行使用者身份來執行。這使用者通常是httpd。要注意的是這漏洞並不會提升權限,但它可以和另一個本地漏洞共同運作來提升到root使用者權限。攻擊者合併不同漏洞攻擊來進入系統的手法並不少見。

Shell腳本程式在Linux上被廣泛的使用,這意味著有很多方法來觸發此漏洞。Bash被用在大多數Unix和Linux系統以及OS X上。Red Hat Linux,世界上最大的Linux供應商之一,在給其客戶的公告中說到:「由於Bash shell的普遍使用,這個問題很嚴重,必須認真對待。」

此外,因為Linux(也就是說,有用Bash)被用在許多嵌入式物聯網(IoT/IoE)設備上,這些設備會帶有此漏洞以及困難到無法修補的風險也不能排除。最後,有新聞指出比特幣/比特幣採礦也可能遭受此安全問題影響。

受影響的 Bash版本有哪些?

直到並包括4.3的Bash版本都會受此漏洞影響。想要確認,請檢查你的*nix廠商網站來確認修補版本。Redhat的客戶可以參考這裡

我現在該怎麼做?

首要之務是升級Bash到最新版本。有鑒於此攻擊的層級,請變更你的SSH金鑰來確保你網頁伺服器的完整性,因為它們可能已經被竊。最好也要變更登入憑證並檢查資料庫日誌以查看是否有任何大規模資料查詢動作執行。

我該如何知道被利用此漏洞攻擊?

如果你仔細檢查你的網頁伺服器日誌,在很多狀況下你都可以識別這種攻擊的痕跡。在存取記錄中查找() {字串。此外,有些錯誤會被記錄在error_log。不過請注意,在某些情況下你並無法發現此種攻擊的痕跡。

趨勢科技Deep Security  的客戶可以使用完整性監控來檢查日誌並確保網頁伺服器內容的完整性不受影響。

 

趨勢科技提供哪些針對此漏洞的防護?

趨勢科技 Deep Security 的客戶必須更新DSRU14-028並啟用以下規則:

 

  • 1006256 – GNU Bash Remote Code Execution Vulnerability

 

趨勢科技會持續提供關於此漏洞的更新,使用者可以的到這裡來獲得最新資訊。

 

@原文出處:Bash Vulnerability Leads to Shellshock: What it is, How it Affects You作者:Pavan Thorat和Pawan Kinger(趨勢科技Deep Security實驗室)