近日,Unix和Linux操作系统广泛使用的GNU Bourne Again Shell(Bash)发现了一个允许远程执行代码的严重安全漏洞。这一漏洞已被命名为Shellshock。
Shellshock被形容为历来发现的最严重和最普遍的网络安全漏洞之一,就连技术含量最高的政府和军方系统也因Shellshock的存在而变得脆弱。因此有专家指出,Shellshock的严重程度甚至远超今年4月导致网络安全专业人士恐慌的“心脏出血”(Heartbleed)漏洞。
据金融时报报道,美国国土安全部已经确认了该漏洞的存在,并向全美各地的公共和私人部门机构发出警告;英国情报机构政府通信总部(GCHQ)向英国机构发出警告,称这个漏洞影响国家关键基础设施。安全研究人员已经演示了DHCP bash shellshock概念验证攻击。
Shellshock漏洞的可怕之处主要有两点:一是无所不在,从web服务器到物联网设备;二是潜伏时间长达20年,损害和威胁评估极为困难。这两点都与心脏出血漏洞类似。
据Arstechinica报道,Blue Coat公司发现Shellshock漏洞发布后4.5小时内就已经有攻击者开始扫描利用Shellshock漏洞,而且已经有DDoS僵尸网络开始在攻击中利用Shellshock漏洞。但目前尚未有证据表明漏洞发布前前黑客知晓该漏洞,这一点也与心脏出血漏洞类似。
这意味着Shellshock漏洞的发布很可能重演心脏出血漏洞的悲剧,漏洞发布导致大量攻击事件的发生,这为整个安全界提出一个新问题,如何在大多数用户无法及时修补的情况下,协调优化整个安全业界的漏洞发布机制,将漏洞发布与安全补丁之间的危险窗口期尽量缩短,将附带损害降至最低。