沒有應用程式有漏洞?現在如何?

 

漏洞 弱點攻擊

回顧2014年,我們看到一大堆Adobe Acrobat、JAVA、Windows等軟體漏洞的出現。源源不斷的披露消息已經嚇不到任何人了。

令人驚訝的是兩個非常重要且廣泛的漏洞:Heartbleed心淌血漏洞和 Shellshock

Heartbleed心淌血漏洞 是普遍的開放原始碼安全程式庫OpenSSL內的漏洞。如果你沒聽說過OpenSSL也不用擔心,一般使用者通常不會直接面對它。但它的確提供安全層給大部分的網站。

這個漏洞讓攻擊者可以存取OpenSSL伺服器儲存在記憶體內的資料。此層級的存取讓攻擊者可以用最小的努力就能危害連到伺服器的連線。

Shellshock是一個幾乎無處不在的命令列解譯器 – bash的漏洞。也沒有聽過bash?即使你自己沒有使用,但它可能存在於你正在使用或連上的系統或設備內。

這漏洞讓攻擊者可以輕易地在你的系統上執行任意指令。更糟的是,這攻擊只需要在請求中加入少少的幾個額外字元及很少的技術知識。 繼續閱讀

Shellshock 新式攻擊針對SMTP伺服器,台灣為存取惡意網站最多的國家

趨勢科技發現了針對SMTP伺服器的新式Shellshock攻擊。攻擊者利用電子郵件來攻擊這個漏洞。如果漏洞攻擊碼在有漏洞的SMTP伺服器上被執行成功,就會下載並執行被稱為「JST Perl IrcBot」的IRC殭屍程式。它會在執行後刪除自己,這很有可能是潛伏在雷達之下而不被偵測的方法。

下圖描述了攻擊的週期。

 

圖一、SMTP攻擊圖解

 

  1. 攻擊者將Shellshock惡意程式碼插入到主旨、寄件者、收件者和副本欄位來製造出惡意電子郵件。
  2. 攻擊者接著將這封電子郵件發送到任何可能有此漏洞的SMTP伺服器。
  3. 當有漏洞的SMTP郵件伺服器收到此惡意電子郵件時,內嵌的Shellshock惡意程式碼就會被執行,然後下載並執行一個IRC僵屍程式。接著會建立對IRC伺服器的連線。
  4. 攻擊者之後就能夠利用郵件伺服器來進行各種惡意活動,如發動垃圾郵件攻擊活動。

 

可能有漏洞的郵件伺服器

趨勢科技列出了各種可能有此漏洞的郵件伺服器環境。

  1. qmail郵件傳輸代理程式(MTA)

.qmail是控制電子郵件傳輸的UNIX設定檔,也負責去執行Bash shell指令。可以設定它去啟動程式,一旦它呼叫了Bash,攻擊就算成功了。(這攻擊需要qmail MTA上有效收件者具備.qmail檔,而且.qmail檔包含任意派遞程式)。

  1. 第四版前的exim MTA

第四版的exim開始,pipe_transport不會呼叫Shell來擴展變數和組合指令。

  1. 使用procmail的Postfix:Postfix MTA會調用procmail,一個郵件傳遞代理程式(MDA)。MDA被用來排序和過濾寄入的郵件。

Postfix沒有明顯的Shellshock漏洞。然而procmail(一種郵件傳遞代理程式)本身可以使用環境變數來將郵件標頭傳遞給隨後的派遞/過濾程式,導致了可被攻擊的Shellshock漏洞。

注:Debian/Ubuntu的Postfix預設將procmail設在main.cfmailbox_command設定。這代表Debian/Ubuntu的Postfix可能會遭受Shellshock漏洞攻擊。

 

攻擊分析

根據趨勢科技的分析,如果嵌入到電子郵件的惡意腳本被有漏洞的SMTP伺服器成功地執行,攻擊者所製作的惡意電子郵件會連到以下網址並下載IRC殭屍程式:

  • hxxp://{BLOCKED}.{BLOCKED}.31.165/ex.txt
  • hxxp://{BLOCKED}.{BLOCKED}.251.41/legend.txt
  • hxxp://{BLOCKED}.{BLOCKED}.175.145/ex.sh

 

到目前為止所發現的IRC殭屍程式都是由Perl撰寫。ex.txt和ex.sh是同一個檔案,只是名稱不同。

圖2、「JST Perl IrcBot」下載的程式原始碼

 

「JST Perl IrcBot」透過端口6667、3232和9999連到命令與控制(C&C)IRC伺服器。殭屍程式會執行以下行為,危害受影響系統的安全:

  • 從網址下載檔案
  • 發送郵件
  • 掃描端口
  • 執行分散式拒斷服務(DDoS)攻擊
  • 執行Unix指令

這種SMTP伺服器攻擊已經出現在臺灣、德國、美國和加拿大等國家。

圖3、存取惡意軟體網站最多的國家

繼續閱讀

關於 Shellshock (bash 漏洞) 你該知道的事

red alret 紅色警戒 資安/病毒漏洞警告

Shellshock漏洞

本週又出現一個需要立即處理且影響廣泛的重大漏洞,或許,甚至比 Heartbleed心淌血漏洞的影響範圍更大,那就是Shellshock,而受影響的則是一個名為「bash」的開放原始碼程式。

bash是一個指令列介面程式 (shell),廣泛存在於 Linux、BSD 和 Mac OS X 作業系統,漏洞詳情請參閱 CVE–2014–7169

我們該關注的是,這個漏洞的存在非常普遍,潛在的損害也很嚴重,而且不需什麼高深技術就能加以利用。由於網際網路上一半以上的伺服器以及 Android 手機和物聯網 (IoT) 裝置都是以 Linux 系統為基礎,因此可想而知其影響範圍之廣。

不但如此,由於 Bitcoin 核心是利用 bash 來控制的,因此這個漏洞也會影響比特幣開採者以及其它比特幣相關系統,這當然也使得他們成為歹徒非常覬覦的攻擊目標。

趨勢科技已經在網路上見到一些攻擊案例

修補程式

某些 Linux 發行版本已釋出修補程式來暫時解決此漏洞的部分問題,趨勢科技建議大家盡快部署這些修補程式,並且隨時注意開發/研究人員何時釋出另一波修補程式來徹底解決此問題。至於 Android 手機和其他裝置,則要看生產的廠商是否釋出修補程式。

空窗期

從漏洞修補程式釋出到修補程式順利完全部署到你的環境,這之間總是會有一段空窗期。

這就是補強性安全機制發揮作用的時刻。針對此次的案例,你應該擁有一套入侵防護 (IPS) 或是其他網路層的經驗式防禦機制來監控你主機所收到的網路流量。

主機式防護可監控進出你主機的網路流量,發掘是否有任何嘗試攻擊的跡象,進而加以攔截,不讓攻擊得逞,有效地提供伺服器一種虛擬修補。此次漏洞的攻擊相對容易偵測,而且 IPS 應有能力在攻擊到達軟體之前預先加以攔截。

該怎麼做?

稍早的文章詳細說明了每一個人都應採取的防範步驟,同時也特別列出趨勢科技客戶可採取的步驟。

對於大多數受影響的發行版本來說,目前已有修補程式來解決該漏洞的部分問題,但更完整的解決方案目前仍在進行當中。

此問題非常緊急,你應該立即採取行動。所幸,其步驟也非常簡單: 繼續閱讀

Shellshock 漏洞 猛烈來襲,網路用戶請全面戒備!

伺服器上的 Shell 攻擊:Bash臭蟲「CVE-2014-7169」和「CVE-2014-6271」

繼四月的 Heartbleed心淌血漏洞之後,又出現一個重大漏洞! Bash Shell出現了一個嚴重的漏洞,這是大多數 Linux 套件內都有使用的軟體。此漏洞(編號為 CVE-2014-7169)可以讓攻擊者在受影響系統上執行指令。簡單的說,這就有辦法在使用這些Linux套件的伺服器上執行遠端程式碼。


Bash Shell TM940x312_0926

 

這臭蟲(漏洞)是什麼?

*nix環境中最受歡迎的Shell有嚴重的漏洞,可以讓攻擊者穿過網路跟中間的防護來執行任意指令。最常見的是使用CGI的網頁伺服器環境。

Bash允許輸出Shell功能函數到其他bash程序。這是透過建立有功能函數定義的環境變數來做到。例如:

env ENV_VAR_FN=’() { <your function> };’

ENV_VAR_FN就是會被輸出到任何後起bash程序的功能函數。這看起來是個有用的功能,對吧?但在Bash實作上有個臭蟲,就是它會繼續讀取功能函數定義後的部分和執行定義後面的指令。在理想狀況下,它應該停止讀取定義以後的東西並加以忽略,不管之後是什麼,但是它沒有。

env ENV_VAR_FN=’() { <your function> }; <attacker code here>’

 

它如何跨越網路影響服務?

有鑑於Bash環境被用在許多設定內這現實,這包括了 CGI、ssh、rsh、rlogin等,這些服務都可能受到此臭蟲影響。任何會接受使用者輸入和將其輸入送到Bash環境的網頁伺服器也都會受此漏洞影響。CGI 環境底下的惡意請求會像是這樣子:

GET /<server path> HTTP/1.1

User-agent: () { :;}; echo something>/var/www/html/new_file

這會為攻擊者建立一個新檔案new_file

網頁應用程式是此漏洞的最大受攻擊面。不過上述的其他幾個服務也有可能被應用類似的攻擊。

 

這可能造成什麼傷害?

上面例子只是展示了如何建立一個檔案,但實際上攻擊者可以執行任何Bash所可以接受的指令。這可能是修改網頁伺服器上的內容,變更網頁程式碼,變換網站外觀,從資料庫竊取使用者資料,變更網站上的權限,安裝後門程式等。

請記住,它會以網頁伺服器的運行使用者身份來執行。這使用者通常是httpd。要注意的是這漏洞並不會提升權限,但它可以和另一個本地漏洞共同運作來提升到root使用者權限。攻擊者合併不同漏洞攻擊來進入系統的手法並不少見。

Shell腳本程式在Linux上被廣泛的使用,這意味著有很多方法來觸發此漏洞。Bash被用在大多數Unix和Linux系統以及OS X上。Red Hat Linux,世界上最大的Linux供應商之一,在給其客戶的公告中說到:「由於Bash shell的普遍使用,這個問題很嚴重,必須認真對待。」

此外,因為Linux(也就是說,有用Bash)被用在許多嵌入式物聯網(IoT/IoE)設備上,這些設備會帶有此漏洞以及困難到無法修補的風險也不能排除。最後,有新聞指出比特幣/比特幣採礦也可能遭受此安全問題影響。

受影響的 Bash版本有哪些?

直到並包括4.3的Bash版本都會受此漏洞影響。想要確認,請檢查你的*nix廠商網站來確認修補版本。Redhat的客戶可以參考這裡

我現在該怎麼做?

首要之務是升級Bash到最新版本。有鑒於此攻擊的層級,請變更你的SSH金鑰來確保你網頁伺服器的完整性,因為它們可能已經被竊。最好也要變更登入憑證並檢查資料庫日誌以查看是否有任何大規模資料查詢動作執行。

我該如何知道被利用此漏洞攻擊?

如果你仔細檢查你的網頁伺服器日誌,在很多狀況下你都可以識別這種攻擊的痕跡。在存取記錄中查找() {字串。此外,有些錯誤會被記錄在error_log。不過請注意,在某些情況下你並無法發現此種攻擊的痕跡。

趨勢科技Deep Security  的客戶可以使用完整性監控來檢查日誌並確保網頁伺服器內容的完整性不受影響。

 

趨勢科技提供哪些針對此漏洞的防護?

趨勢科技 Deep Security 的客戶必須更新DSRU14-028並啟用以下規則:

 

  • 1006256 – GNU Bash Remote Code Execution Vulnerability

 

趨勢科技會持續提供關於此漏洞的更新,使用者可以的到這裡來獲得最新資訊。

 

@原文出處:Bash Vulnerability Leads to Shellshock: What it is, How it Affects You作者:Pavan Thorat和Pawan Kinger(趨勢科技Deep Security實驗室)