隨著Shellshock(即Bash漏洞)的安全疑慮逐漸攀升,全球資安軟體及解決方案領導廠商趨勢科技率先提供一系列免費工具來讓大眾掃瞄自己的OSX和Linux伺服器以保護伺服器與網站使用者的安全。此漏洞很可能對全球近五億台的網站伺服器以及手機、路由器和醫療裝置等各種連上網際網路的裝置造成威脅。
趨勢科技執行長陳怡樺表示:「此問題的嚴重性很可能迅速攀升,因此我們立即採取了預防性措施來防止這個前所未有的漏洞,保障大眾安全。我們相信,對科技使用者來說,最有效的作法是謹慎面對,並且利用趨勢科技和其他廠商所提供的資源來建立一道堅固的防線。我們也希望能藉由提供免費工具給客戶及社會大眾來防範這波疫情爆發。」
本週媒體大量報導的Shellshock(即Bash漏洞)是一個可讓歹徒從遠端執行Linux指令的漏洞,其影響遍及全球絕大多數的網站伺服器,還有連上網際網路的Mac OSX平台裝置。我們提供的免費工具BashLite Malware Scanner即可檢查您的Linux系統上是否含有BashLite惡意程式。
趨勢科技技術長Raimund Genes指出:「Shellshock很可能比今年稍早的Heartbleed(心淌血)漏洞散布得更廣,它不僅與Heartbleed的性質和行為截然不同,而且威脅更為嚴重。」
趨勢科技的全方位策略是試圖控制疫情並架好防禦,包括提供工具讓IT系統管理員掃瞄及保護伺服器,例如網站安全與惡意程式防護工具,進而保護一般使用者。
企業伺服器和使用者:
‧Deep Security as a Service:立即為含有此漏洞的伺服器提供虛擬修補,自動防範Shellshock威脅。
‧Deep Discovery網路監控:偵測網路上是否有任何利用Shellshock漏洞的攻擊,並且即時提醒IT管理員注意可疑的系統入侵行為。
‧Interscan Web Security:在一般使用者連上某個趨勢科技判定含有Bash漏洞的網站時顯示通知。
一般消費者:
‧趨勢科技免費的PC、Mac及Android偵測工具:這些工具可在一般使用者瀏覽到某個趨勢科技判定含有Bash漏洞的網站時提出警訊,協助使用者遠離威脅。
請至以下網址下載這些工具:
http://www.trendmicro.tw/tw/security/shellshock-bash-bug-exploit/personal-device-tools/index.html
至於那些無法採用趨勢科技防範措施來防止Shellshock漏洞的企業和一般使用者,趨勢科技威脅專家提供了下列建議來減輕其威脅:
‧一般使用者應隨時注意是否有Mac OSX手機的修正程式並立即套用。
‧Linux系統管理員應考慮採用虛擬修補防禦措施,直到廠商釋出修補程式為止。
‧使用Linux/Apache組合的網站伺服器若運用到Bash程序檔(script),系統管理員應考慮重新修改這些程序檔,改以Bash之外的指令列介面程式,直到修補程式出現為止。
‧使用代管式服務的客戶應向廠商詢問其服務是否受此漏洞影響,以及他們有何因應計劃。