日前出現一個新的漏洞,威脅多個版本的Linux和Unix操作系統( 包括Mac OS X在內)、路由器和物聯網(Internet of Things,IOT)上的設備。Bash是一個用來命令解讀程式(command language interpreter),用戶只要將指令輸入到一個簡單、文本(text-based)視窗,操作系統便會按指令運作。
賽門鐵克認為此漏洞相當關鍵,嚴重情況較4月的Heartbleed更甚。因為如果成功利用這個稱為「Bash Bug」或「Shellshock」的漏洞,攻擊者不僅可取得目標電腦的控制權,並可繼而進入其他在受影響網絡上的電腦。
如何進行攻擊及受影響設備
雖然該漏洞有可能影響到任何一台以Bash運作的電腦,但它只能讓遠程攻擊者在某些情況下利用。要成功攻擊,攻擊者需要強制應用程式將惡意環境變數發送致Bash。
攻擊最有可能通過被廣泛使用的Common Gateway Interface(CGI)網絡服務器進行。攻擊者可能會利用CGI,發送一個畸形的環境變數致低防護的網絡服務器。因為服務器使用Bash解讀這些變數,它自然會同時操作任何附帶的惡意指令。
攻擊者一旦成功利用該網絡服務器上的漏洞,便可下載惡意程式到受感染的電腦,並可突破受害人電腦的防火牆,感染網絡上的其他電腦。
多個版本的Linux和Unix操作系統,包括Mac OS X都有可能受到攻擊。以Bash運作的物聯網和嵌入式設備,如路由器亦可能受到威脅。然而,許多較新的設備都以一套稱為BusyBox的工具取代Bash運作,因此不受此漏洞影響。
賽門鐵克對企業和消費者的建議
「Bash Bug」漏洞對企業,尤其是經營網站業務的構成最大威脅。攻擊者可以存取他們的數據,並讓入侵其網絡。賽門鐵克建議企業及消費者均應立即應用所有供應商提供的修補方案。Linux供應商已對新發現的漏洞修補。如果某些Linux或Unix無法修補漏洞,建議用戶暫時轉換到其他的shell。蘋果Mac OS X的用戶應該留意目前操作系統易受Bash攻擊,一旦蘋果公布修補方案,用戶應立即進行修補。