法国开源工作者Chazelas也许没有意识到,Bash Shellshock漏洞的发布,引发了全球僵尸网络的狂欢,而漏洞的修补,则可能变成无休止的打地鼠游戏,这对于各国国防部和假日网购人群来说都不是好消息。
法国Linux爱好者Stéphane Chazelas发现的Bash Shellshock漏洞被安全界认为是十年来最严重的安全漏洞,危害性甚至超过心脏出血漏洞。
因为这个漏洞能影响众多的运行在GNU/Linux上的会跟BASH交互的应用程序,包括OpenSSH, Apache2, php, dhcp client甚至带SUID的程序。(参考乌云总结的:CVE-2014-6271资料汇总)
之所以说危害性可能超过心脏出血漏洞,是因为Shellshock比心脏出血漏洞更容易实现自动化攻击目标,该漏洞本身的特性会催生蠕虫的产生。
僵尸网络的狂欢,
安全牛在26日凌晨发布的“Shellshock被僵尸网络利用,漏洞发布再次导致灾难”一文中曾指出:“Shellshock被形容为历来发现的最严重和最普遍的网络安全漏洞之一,就连技术含量最高的政府和军方系统也因Shellshock的存在而变得脆弱。”
这种担心很快就变成了现实,据Arstechinca的报道,最先是Blue Coat公司发现Shellshock漏洞发布后4.5小时内就已经有攻击者开始扫描利用Shellshock漏洞,而且已经有DDoS僵尸网络开始在攻击中利用Shellshock漏洞。
随后,据Solidot报道,又有意大利安全公司声称,攻击者已开始利用刚刚曝光的Shellshock漏洞组建僵尸网络。一个活跃着的僵尸网络叫Wopbot,它扫描互联网寻找存在漏洞的系统,其中包括美国国防部的IP地址段215.0.0.0/8。Tiger Security公司CEO Emanuele Gentili说,我们发现了一个运行在Linux服务器上的僵尸网络,它利用Bash Shellshock bug自动感染其它服务器。Wopbot对CDN服务商Akamai发动了分布式拒绝服务攻击。
补不上的黑洞?漏洞修补变打地鼠游戏
在僵尸网络狂欢的同时,Shellshock漏洞补丁却关键时刻掉链子。Shellshock漏洞发布后,包括大型互联网公司、产品公司和安全公司社会各界纷纷发布修补漏洞,不少开发者发现新发布的Bash代码补丁依然存在漏洞,Google的信息安全工程师Tavis Ormandy在Twitter上发推文指出:Linux社区本周三匆匆给出的bash补丁“看上去很不充分,函数解析依然存在安全问题。”看到Ormandy在开源软件安全邮件列表中的信息后,Bash代码的维护者Chet Ramey本周三晚又重写了一个新补丁,但由于新补丁需要测试和打包,第一次放出的问题补丁直到本周五都没有从各大Linux发行版中撤下。(RedHat周六发布了新补丁)
但事故才刚刚开始,昨天稍晚些时候,日本开源软件工程师Norihiro Tanaka在Bash bug维护列表中发信指出,通过一个环境变量“cat”能绕过最新发布的bash补丁,发出可执行命令。
计算机科学家David Wheeler看到Tanaka的邮件后,在开源软件安全列表(OSS-SEC)中指出:
我们很感谢大家在发布补丁(bash43-026)所做的努力,但这个补丁目前看来压根解决不了根本问题。第二个补丁并没有解决第一个补丁的解析错误,让这件事看上去就像是打地鼠游戏。Bash的解析器存在大量漏洞,因为bash最初设计的时候根本(不需要)考虑安全问题。
安全专家John Haxby更是发博文指出:
一位安全界的朋友悲观地认为bash的漏洞将补不胜补,Bash将成为一个取之不尽的漏洞喷泉,除非它停止自动解析标准环境变量。我已经关掉了手里的几个网站,因为实在是对目前官方的所谓补丁没信心。出于同样的原因,我这两天也没敢从网上买东西。我怀疑很多安全专家都在这么做。
虽然安全专家们的终告听上去有些耸人听闻,但实际上Shellshock的补丁确实没有彻底补漏,那些使用bash向操作系统或启动软件的系统依然面临严重威胁。
Wheeler推荐了两个彻底修复bash代码的建议,但缺点是会影响到对旧版本bash的兼容性。第一个修复建议来自德国计算机安全专家Florian Weimer,他建议给bash函数增加前缀,防止他们与系统变量重名(目前Shellshock漏洞的利用方式之一)。第二个修复建议来自NetBSD开发者Dr. Christors Zoulas,他建议bash仅在收到明确请求后,才导入环境变量,这样可以防止bash意外将恶意代码或无关数据导入。目前已经有开发者开始采用以上两个建议修复漏洞,例如FreeBSD在最新的bash修订版本中已经默认关闭了导入功能。