北京时间9月26日消息,研究人员周四发布警告称,黑客已经开始利用最新的“Shellshock”电脑漏洞,借助蠕虫病毒扫描有漏洞的系统,然后感染这些系统。
影响范围
Shellshock是继今年四月的“心脏流血”漏洞之后,业界发现的首个重大互联网威胁。由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中,因此影响范围十分广泛。
最新的这项漏洞的威胁程度之所以堪比“心脏流血”,一定程度上是因为Shellshock所影响的Bash软件,同样被广泛应用与各类网络服务器以及其他电脑设备。
但安全专家表示,由于并非所有运行Bash的电脑都存在漏洞,所以受影响的系统数量或许不及“心脏流血”。不过,Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。
与之相比,“心脏流血”漏洞只会导致数据泄漏。
科技行业正在加紧确定哪些系统可能会被黑客远程利用,但目前还无法估算受影响的系统数量。“我们其实并不知道传播范围有多广,这可能是近年来最难评估的漏洞之一。”知名互联网安全专家丹·卡明斯基(Dan Kaminsky)说。
专家表示,要成功发起攻击,目标系统必须接入互联网,而且要在Bash之外运行第二组有漏洞的代码。
“有关哪些系统会受影响出现了很多猜测,但我们还不知道答案。”网络安全公司BeyondTrust CTO马克·麦福利特(Marc Maiffret)说,“这有可能会在未来几周或几个月逐渐明确。”
目标设备
保险公司AEGIS的网络安全专家乔·汉考克(Joe Hancock)表示,他担心家用宽带路由器,以及用于管理关键基础设施的控制器,都有可能遭到攻击。
“在某些领域,问题可能很难修复,因为很多嵌入式设备无法进行定期升级,甚至根本打不了补丁。”汉考克说。
安全软件开发商Rapid7首席研究官摩尔(HD Moore)表示,大概需要花费数周甚至数月才能判断漏洞的具体影响。
“我们目前还不知道自己究竟有什么尚不了解的事情,但我们希望,随着厂商和研究人员开始评估其产品和服务的流程,可以挖掘出更多漏洞信息。”摩尔在电子邮件中说,“今后几年可能会不断看到该漏洞所引发的问题。”
Linux开发商已于周三针对该漏洞发布了补丁,但安全研究人员却在这些补丁中发现了瑕疵。例如,有专家称,全球第一大Linux厂商红帽发布的补丁“不完善”。
“问题在于,现在已经过去24小时了,但我们还在原地踏步。”网络安全公司Rook Security首席安全顾问麦特·冈沃(Mat Gangwer)说,“人们似乎很惊恐。他们理应惊恐”
蠕虫攻击
俄罗斯安全软件开发商卡巴斯基报告称,一种电脑蠕虫已经开始感染存在Shellshock漏洞的电脑。
卡巴斯基研究员大卫·雅各比(David Jacoby)表示,恶意软件可以控制被感染的设备,发起DoS(拒绝服务)攻击,从而导致网站瘫痪。除此之外,还可以扫描路由器等其他存在漏洞的设备。但雅各比并不清楚攻击发起人的身份,也无法确定具体的受害者。
网络安全公司AlienVault实验室主任杰米·布拉斯考(Jaime Blasco)表示,他也发现了相同的恶意软件,以及另外一个利用Shellshock漏洞发起DoS攻击的蠕虫。
“心脏流血”是开源加密软件OpenSSL的一个漏洞,由于全球有三分之二的网站使用OpenSSL,所以可能导致数百万用户的数据面临风险。已经有数十家科技公司针对成百上千款使用OpenSSL的产品发布了安全补丁。