“破壳”漏洞猛于“心脏出血”

2014年9月24日，Bash惊爆严重安全漏洞，编号为CVE-2014-6271，名称为“ShellShock”，中译名“破壳”。该漏洞可能导致远程攻击者在受影响的服务器操作系统上执行任意命令

2014年9月24日，Bash惊爆严重安全漏洞，编号为CVE-2014-6271，名称为“ShellShock”，中译名“破壳”。该漏洞可能导致远程攻击者在受影响的服务器操作系统上执行任意命令。

Bash是一个为GNU计划编写的Unix Shell，广泛使用于Linux/Unix/OSX，相当于DOS系统的批处理脚本解释器。某些远程服务向其客户端开放Shell编程，允许使用环境变量机制传递参数，但并未严格检查和过滤脚本，导致通过参数恶意注入的Shell命令畅通无阻，远程攻击者利用该漏洞能够完全控制服务器。

Apple公司声称，其OSX在默认设置下不受该漏洞影响，除非用户自行更改为高级Unix服务模式。

严格说来，“破壳”漏洞不算是Bash本身的安全漏洞，而是其已经存在20年的一项已知功能特性。该漏洞属于典型的脚本注入漏洞，类似于SQL注入。相关远程服务原本应该根据最小授权原则严格检查和过滤外来脚本，但Bash的该项功能特性并非必要，因此更简单可行的解决方案是在Bash层撤销该项功能特性。

不久前，OpenSSL被发现忘记检查缓冲区边界，导致“心脏出血”。近日，基于Bash的常用远程服务被发现忘记检查脚本语法边界，导致Linux等服务器操作系统可能被远程执行任意命令。都是“越界”惹下大祸，但“破壳”猛于“心脏出血”。“心脏出血”属于信息风险、利用难度较高，“破壳”则属于系统风险、且利用难度极低，因此其威胁等级属于最高级。

据“知道创宇”安全团队提供的最新数据，中国大陆地区至少有13000台服务器受到“破壳”漏洞影响，全球约有140000台主机服务器受影响，可被直接实施远程攻击。

可执行以下命令简单检测是否存在“破壳”风险：

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

如果执行结果中出现“vulnerable”字样，表明存在风险，应尽快升级Bash到最新版本（http://ftp.gnu.org/gnu/bash/），并检查系统日志等以评估可能已经发生的损害情况。由于9月27日5时发布的更新包并未完全解决问题，存在被绕过的可能，此前更新过的服务器设备必须重新更新。

安全界有一种观点认为，“破壳”是Linux等平台的安全漏洞，与Windows安全产品没什么关系。我们认为这个观点过于片面。一方面，客户端具有平台无关性，黑客可以在Windows下对Linux等平台的服务器发起远程攻击；另一方面，Windows设备也完全可能成为攻击跳板，云安全体系可以且有必要对此类攻击行为进行控管。目前，腾讯电脑管家等Windows安全产品已经发现并查杀恶意利用“破壳”漏洞的木马，对于维护全网安全是有益的。

我们正在为前辈们的简单错误或疏漏买单。遗憾地是，现在使用的互联网通信协议和服务，大部分继承自几十年前安全意识非常薄弱的时代，没有人知道包含数百万行代码的现行互联网基础结构还有多少致命的安全漏洞，买单的日子远没有完。