“破壳”漏洞系列分析之一

  2014年9月24日Bash被公布存在远程代码执行漏洞,随后安天实验室安全研究与应急处理中心在第一时间根据信息研判,确认该漏洞可以产生严重的后果,且分布广泛,于北京时间9月24日早晨5时30分启动了A级风险应急响应。

  安天CERT针对该漏洞进行了严格地分析验证,确认该漏洞会影响目前主流的Linux和Mac OSX操作系统平台,包括但不限于Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux、OS X 10.10等平台。该漏洞可以通过构造环境变量的值来执行想要执行的攻击代码脚本,会影响到与Bash交互的多种应用,包括HTTP、OpenSSH、DHCP等。根据目前的漏洞验证情况以及已经流传的POC情况,这个漏洞将严重影响网络基础设施的安全,包括但不限于网络设备、网络安全设备、云和大数据中心等。

  根据信息检索,本漏洞发现者为法国GNU/LINUX研究者StéphaneChazelas,发现时间为2014年9月中旬,而披露时间为2014年9月24日。

  特别是Bash广泛地分布和存在于设备中,其消除过程将非常长尾,且易于利用其编写蠕虫进行自动化传播,同时也将导致僵尸网络的发展,目前已有多个境外安全机构发出了警告。

  安天CERT目前已验证在Red Hat、CentOS、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均拥有存在CVE-2014-6271漏洞的Bash版本,同时由于Bash在各主流操作系统的广泛应用,此漏洞的影响范围包括但不限于大多数应用Bash的Unix、Linux、Mac OS X,而针对这些操作系统管理下的数据均存在高危威胁。漏洞的利用方式会通过与Bash交互的多种应用展开,包括HTTP、OpenSSH、DHCP等。

  安天CERT目前抽样验证当前出厂预装的Android操作系统暂不支持ENV命令,可推测针对Android操作系统受到此漏洞影响的可能性较小。

  这是安天CERT今年内第二次做出A级响应,而此前一次是Heart Bleed(心脏出血)。当我们回望安天A级响应的档案,我们看到了很多熟悉的名字:口令蠕虫、震荡波、冲击波……

  而在“心脏出血”出现之前的几年时间内,正是威胁高度定向化发展的时代,安天CERT的工作重心转向去分析更为精致、漫长的APT攻击,已经有多年未启动过A级响应。所以当“心脏出血”到来的时候,我们显得那样慌乱。我们已经不习惯被凌晨从睡梦中叫醒,我们突然发现基础环境需要重新搭建。当时我们的感觉是,如同一群在犯罪现场小心取证、捉摸研究的侦探,突然发现全城大火,任务迅速变成全体去参与救火……而对安全分析工程师来说,只要重入火线,就可以唤醒沉睡的敏锐和血性。

 

上一篇:智能无惧挑战 山石网科轰动RSA2015

下一篇:谷歌推“安全密钥”账号安全保护服务