互聯網商業使用後最嚴重的漏洞斷層

圖 / 取自網路

今(2014)年 4 月，開源加密庫 OpenSSL 的 Heartbleed 安全漏洞震驚了互聯網。由於 OpenSSL 被廣泛用於互聯網的安全套接層協定，因此，這次安全危機牽涉到諸多網站，還影響到一些知名的軟體、作業系統和固件。據報導，漏洞爆出之日，17％ 的可信 Https 站點都存在此安全隱患。當時，網站安全專家們稱其為『災難性』的，甚至是『互聯網允許商業使用後所發現的最嚴重的漏洞』。

根據愛范兒報導，這個漏洞的出現，還暴露出一個令人震驚的事實。OpenSSL 獲得了如此廣泛的使用，但是，負責維護的只有四人（一人是全職），而且長期處於資金不足的狀態。隨後，微軟、Google、Facebook 等科技巨頭成立非盈利組織 Core Infrastucture Intiative，以資助網路上的重要專案。

如今，大多數網站已經修復了心臟流血漏洞，度過了一場嚴重的危機。只是，讓人沒有想到的是，僅僅幾個月後，另一場安全危機又突然來臨了，而且比上次還要嚴重。Red Hat 安全團隊在 Bash Shell 中發現了一個超級嚴重的漏洞。這個漏洞被命名為『Shellshock』。據 FT 中文網的報導，此漏洞已經引起了國家安全機構的高度重視。

據安全分析人士介紹，就連技術含量最高的政府和軍方系統也因 Shellshock 的存在而變得脆弱。隨著敵對國家的政府和犯罪組織尋求利用這個安全漏洞，一些網路攻擊正在進行中。

周三，美國國土安全部(Department of Homeland Security)確認了這個漏洞的存在，並向全美各地的公共和私人部門機構發出警告。

『利用這一漏洞，可能讓遠端攻擊者得以在受影響的系統上執行任意代碼，』美國國土安全部表示。也就是說，這個漏洞讓潛在攻擊者不受阻礙地進入電腦系統，無論其目的是利用犯罪手段獲利，從事間諜活動還是搞破壞。

美國國土安全部的國家網路安全部門對 Shellshock 的可利用性打分為 10 分（總分 10 分），影響打分為 10 分（總分 10 分），總體嚴重性的打分也是 10 分，即最具破壞力的評分。相比之下，『心髒出血』只得到 5 分。英國網路安全機構——政府通信總部(GCHQ)周三向英國機構發出警告，稱這個漏洞影響國家關鍵基礎設施。

要理解 Shellshock 的嚴重性，首先要知道什麼是 Bash Shell。在類 Unix 系統中，Shell 是作業系統最外面的一層，管理用戶與作業系統之間的交互。它類似於 DOS 下的 command，接收用戶命令，然後調用相應的應用程式。Shell 有很多種，但是 Bash Shell 是大多數 Linux 系統和 Mac OS X 默認的 Shell。由於許多網路伺服器使用了 Linux 系統，因此，這個漏洞的影響是相當廣泛的。

除了網路伺服器之外，其他的聯網設備也會受到影響，包括路由器、網路攝影機、智慧燈泡等，因為它們的軟體中大量使用了 Bash 腳本。ErrataSec 安全專家的 Robert Graham 認為 ，Shellshock 漏洞比心臟流血漏洞還要嚴重，而且，心臟流血漏洞只影響某個版本的 OpenSSL，Shellshock 漏洞存在的時間要長久多了，修復起來也更加困難。

一個主要的擔憂是，攻擊者可能利用 Shellshock 來傳播蠕蟲病毒，影響數量眾多的電腦。攻擊者也可能利用該漏洞突破公司的防火牆，造成難以估量的嚴重後果。

目前，Rat Hat 發布了一個補丁，但隨後又警告說，補丁並不完整。不過，即使有了完整的補丁，修復如此眾多的漏洞也是一件難事，特別是一些老設備是打不了補丁的。『我們永遠無法完整統計出受到該漏洞影響的所有軟體，』 Gramham 對 Cnet 網站說，『當已知系統（比如你的網路伺服器）打上補丁後，那些未知的系統仍然是有漏洞的。我們已經看到心臟流血漏洞的情況了：六個月過去了，數以萬計的系統仍然存在安全漏洞。』

【101創業大小事/整理報導】

免責聲明：

部分圖片、觀點，來源於網際網路及其他網路平台，主要目的在於分享訊息，讓更多人獲得需要的資訊，其版權歸原作者所有。如涉及侵權請告知，我們會在24小時內刪除相關內容。