Bash漏洞威脅比Heartbleed影響更大

四台國際CEO · 發表於 2014-9-27 00:02:43

日前出現一個新的漏洞，威脅多個版本的Linux和Unix操作系統（包括Mac OS X在內）、路由器和物聯網（Internet of Things，IOT）上的設備。Bash是一個用來命令解讀程式（command language interpreter），用戶只要將指令輸入到一個簡單、文本（text-based）視窗，操作系統便會按指令運作。

雖然該漏洞有可能影響到任何一台以Bash運作的電腦，但它只能讓遠程攻擊者在某些情況下利用。要成功攻擊，攻擊者需要強制應用程式將惡意環境變數發送至Bash。攻擊最有可能通過被廣泛使用的Common Gateway Interface（CGI）網絡服務器進行。攻擊者可能會利用CGI，發送一個畸形的環境變數至低防護的網絡服務器。因為服務器使用Bash解讀這些變數，它自然會同時操作任何附帶的惡意指令。攻擊者一旦成功利用該網絡服務器上的漏洞，便可下載惡意程式到受感染的電腦，並可突破受害人電腦的防火牆，感染網絡上的其他電腦。

多個版本的Linux和Unix操作系統，包括Mac OS X都有可能受到攻擊。以Bash運作的物聯網和嵌入式設備，如路由器亦可能受到威脅。然而，許多較新的設備都以一套稱為BusyBox的工具取代Bash運作，因此不受此漏洞影響。

此漏洞一出，三大網絡安全供應商Symantec、Network Box及Trend Micro馬上表態，認為此漏洞相當關鍵，嚴重情況較4月的Heartbleed更甚。因為如果成功利用這個稱為「Bash Bug」或「Shellshock」的漏洞，攻擊者不僅可取得目標電腦的控制權，並可繼而進入其他在受影響網絡上的電腦。