近日出现的一个新型漏洞威胁了包括Mac OS X在内的多个版本的Linux和Unix操作系统,以及路由器和物联网(Internet of Things,IOT)设备。Bash是一个命令语言解释程序(command language interpreter),当用户将指令输入到一个简单文本(text-based)视窗内,操作系统便会按照指令运行。
赛门铁克认为此漏洞相当严重,威胁程度较4月的Heartbleed更甚。如果攻击者成功利用这个被称为「Bash Bug」或「Shellshock」的漏洞,不仅可以取得目标电脑的控制权,还可以继续侵入其他在受影响网络中的电脑。
如何进行攻击以及可能受到影响的设备
虽然该漏洞有可能影响任何一台以Bash运行的电脑,但是它只能允许远程攻击者在某些情况下利用。如果希望实现成功攻击,攻击者需要强制应用程序将恶意环境变数发送至Bash。
攻击最有可能通过被广泛使用的Common Gateway Interface(CGI)网络服务器进行,攻击者可能会利用CGI发送一个畸形的环境变数到低防护的网络服务器。由于服务器使用Bash解读这些变数,这将导致任何附带的恶意指令被同时执行。
攻击者一旦成功利用该网络服务器上的漏洞,便可以将恶意程序下载到受感染的电脑上,并且可以突破受害者电脑的防火墙,感染网络上的其他电脑。
包括Mac OS X等多个版本的Linux和Unix操作系统都有可能受到攻击。以Bash运行的物联网和嵌入式设备,如路由器都有可能受到威胁。但是,许多较新的设备都以一套被称为BusyBox的工具取代了Bash, 因此将不会受到此漏洞的威胁。
赛门铁克对企业及消费者的建议
「Bash Bug」漏洞对企业,尤其是经营网站业务的企业构成最大的威胁。攻击者可以存取受害者的数据,并侵入其网络。赛门铁克建议企业及消费者应该立即采用所有供应商提供的修补方案。Linux供应商已经对新发现的漏洞进行修补。如果某些Linux或Unix无法修补漏洞,赛门铁克建议用户暂时转换到其他的Shell。苹果Mac OS X用户应该注意目前操作系统容易受到Bash的攻击,一旦苹果公司发布修补方案,用户应该立即进行修补。