据英国《金融时报》26日报道,近日有消息称,很多电子设备搭载的软件存在一种被称为“Shellshock”的根本缺陷。于是,世界各国政府和企业在过去的48小时里投入了紧急行动,巩固了各自的网络安全系统。
报道称,“Shellshock”被形容为历来发现的最严重和最普遍的网络安全漏洞之一,在严重程度上远超4月导致网络安全专业人士恐慌的“心脏出血”漏洞,后者让全球成千上万企业和数以百万计的消费者在网络攻击面前不堪一击。
据安全分析人士介绍,就连技术含量最高的政府和军方系统也因“Shellshock”的存在而变得脆弱。随着犯罪组织寻求利用这个安全漏洞,一些网络攻击正在进行中。
报道指出,24日,美国国土安全部确认了这个漏洞的存在,并向全美各地的公共和私人部门机构发出警告。
“利用这一漏洞,可能让远程攻击者得以在受影响的系统上执行任意代码,”美国国土安全部表示。也就是说,这个漏洞让潜在攻击者不受阻碍地进入计算机系统,无论其目的是利用犯罪手段获利,从事间谍活动还是搞破坏。
报道称,美国国土安全部的国家网络安全部门对“Shellshock”的可利用性打分为10分(总分10分),影响打分为10分(总分10分),总体严重性的打分也是10分,即最具破坏力的评分。相比之下,“心脏出血”只得到5分。英国网络安全机构,政府通信总部24日向英国机构发出警告,称这个漏洞影响国家关键基础设施。
“应当假定,多数基于服务器的架构都受到影响,” 政府通信总部的电脑应急响应团队补充称。
报道指出,这个漏洞存在于“Bash”软件中,该软件在“Unix”和“Linux”系统以及它们的衍生物上相当常见。
“Bash”是一种命令行壳层,即电脑软件系统的基本组成部分,对操作系统本身进行配置。
上述漏洞意味着,黑客能够把自己的命令叠加到“Bash”发出的合法指令上。