安全观察家发出警告称,Shellshock漏洞已经成为恶意扫描的焦点,至少有一个僵尸网络在重点利用Shellshock漏洞,而骗子们仍在试用漏洞,极有可能出现更糟糕的情况。
网络安全公司FireEye称已经注意到由该Bash bug引起的各种公开的恶意网络活动,包括DDoS攻击、恶意软件滴管(Malware dropper)、反向外壳攻击(Reverse shell hack)、后门程序和数据泄露等。部分可疑活动似乎来自俄罗斯。
周三中午以来,网络出现轰炸式攻击,源自攻击者部署的网络扫描,以寻找易受攻击的机器。到目前为止,大部分攻击者将主要注意力放在通用网关接口向量(网页服务器和可执行程序之间的接口,用来产生动态内容)上。但是Bash Shell Shock Bug的影响范围远远不止网页服务器。
FireEye的警告指,“据我们的猜测,居心不良人士可能在进行初步的模拟攻击,为潜在的真正大规模攻击做准备。”
最初发布的Shellshock漏洞补丁程序很快就被证实是没有什么太大作用。周末又发布了更多的相关漏洞补丁程序。由于漏洞的操作很容易、漏洞的机理简单以及使用Bash的用户群庞大,由漏洞引起的问题可能会延续数月而不是数周。
另外,Incapsula的安全研究人员记录了超过17,400次的攻击,平均每小时的攻击次数达725次。Incapsula网络内超过1800域名遭到攻击。攻击源自400个不同的IP地址。55%以上的攻击来自中国和美国。此结果和FireEye的结果明显不一样,FireEye指很多攻击来自俄罗斯。
互联网风暴中心(Internet Storm centre:一个监视互联网安全状况的网站)检测到蠕虫/僵尸网络活动的迹象,认为这些活动可能会延续一段时间,因而已经将InfoCon(信息状态,Information Condition的缩写)色改成黄色。(互联网风暴中心将信息状态分为绿、蓝、黄、橙、红等5种颜色,绿色为正常,蓝色为测试,黄色为正在监视跟踪网络上出现的恶意攻击活动,橙色为部分网络即将或正在受到影响,红色为大部分网络失效。)
网上一个活跃的IRC僵尸程序目前在利用Shellshock漏洞攻击存在漏洞的系统,利用这些系统运行DDoS攻击搞事。Trend Micro的一篇博文指,坊间利用Shellshock的恶意软件远不止该IRC僵尸程序。