为什么说破壳漏洞会带来一场全球服务器的浩劫

为什么说破壳漏洞会带来一场全球服务器的浩劫

948ebbff490bbb3c8cfa7863ee55c721

2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码。GNU Bash 是一个为 GNU 计划编写的 Unix Shell,广泛使用在 Linux 系统内,最初的功能仅是一个简单的基于终端的命令解释器。这意味全球至少 150 万的主机将受到影响,此外 Linux/Unix 世界内的安卓和苹果都难幸免。

破壳漏洞(ShellShock)的严重性被定义为 10 级(最高),今年 4 月爆发的 OpenSSL「心脏出血」漏洞才 5 级!

漏洞描述:

GNU Bash 4.3 及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行 Shell 命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用 Bash Shell 之前可以用构造的值创建环境变量。这些变量可以包含代码,在 Shell 被调用后会被立即执行。

影响情况:

这个破壳漏洞确实是一个危害极大的漏洞,胜于今年 4 月 8 号爆发的「心脏出血」,但破壳漏洞的探测方式很复杂,不同的组件测试方式有所区别,很难评估一个影响面,但是可以肯定的是 Bash<=4.3 版本都受影响,而 Bash 在至少百亿级别数量的设备上使用,因为 Bash 是最流行的 Linux Shell。

来自知道创宇的 ZoomEye 团队通过几种方式的组合检测,得到了些影响结论。

第一组数据

经过 ZoomEye 的特殊探测,发现国内某厂家的互联网系统在全国范围内有 13254 台设备受到破壳漏洞影响,可被直接远程攻击。

第二组数据

经过 ZoomEye 的 Fuzzing 探测,全球大概存在 142000 主机受影响,需要注意的是由于 Fuzzing 规则不完备,得到的数量肯定会不完备,但这个数字至少可以看到可被直接远程攻击利用的面很大。

第三组数据

我们看到 masscan 的官方发布了消息: http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html 他们全球探测的结论是:至少 150 万受影响,而这验证规则很简单,仅对主机的 80 端口进行直接请求,这个结论我们也在验证。

可以从这几组数据看到,探测方式各不相同,如果继续扩展可以逐步描绘出越来越清晰的影响面(可直接远程攻击),知道创宇会继续。

破壳漏洞几个有趣点:

  1. 危害等级是 10(不能再高了),心脏出血那么厉害才 5;
  2. 破壳破的是 Bash,这个在 Linux/Unix 世界存活超过了 20 来年;
  3. 破壳蠕虫已经传播感染;
  4. 虽然这是 Linux/Unix 世界的问题,别忘了安卓、苹果都是(需要深入验证),当然 Windows 这次没事;
  5. 破壳漏洞的利用比心脏出血麻烦,怪不得带来的冲击力低了很多,很多媒体都没关注也可理解,但破壳的后劲绝对很大。

此漏洞可能会影响到的地方

注:以下几点参考自:https://raw.githubusercontent.com/citypw/DNFWAH/master/4/d4_0x07_DNFWAH_shellshock_bash_story_cve-2014-6271.txt

且结论经过我们验证有效。 

  1. 在 SSHD 配置中使用了 ForceCommand 用以限制远程用户执行命令,这个漏洞可以绕过限制去执行任何命令。一些 Git 和 Subversion 部署环境的限制 Shell 也会出现类似情况,OpenSSH 通常用法没有问题。
  2. Apache 服务器使用 mod_cgi 或者 mod_cgid,如果 CGI 脚本在 BASH 或者运行在子 Shell 里都会受影响。子 Shell 中使用 C 的 system/popen,Python 中使用 os.system/os.popen,PHP 中使用 system/exec(CGI 模式) 和 Perl 中使用 open/system 的情况都会受此漏洞影响。
  3. PHP 脚本执行在 mod_php 不会受影响。
  4. DHCP 客户端调用 Shell 脚本接收远程恶意服务器的环境变量参数值的情况会被此漏洞利用。
  5. 守护进程和 SUID 程序在环境变量设置的环境下执行 Shell 脚本也可能受到影响。
  6. 任何其他程序执行 Shell 脚本时用 Bash 作为解释器都可能受影响。Shell 脚本不导出的情况下不会受影响。

漏洞验证,可以使用如下命令来检查系统是否存在此漏洞:

CVE-2014-6271 测试方式:



    

  1. env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
    2. 



注:CVE-2014-6271 的漏洞源码级分析请参考: http://blog.knownsec.com/2014/09/bash_3-0-4-3-command-exec-analysis/


修补后,又被绕过,CVE-2014-7169 最新测试方法:




    

  1. $ env -i X='() { (a)=>\' bash -c 'echo date'; cat echo
    2. 



如执行结果如下则仍然存在漏洞:




    

  1. bash: X: line 1: syntax error near unexpected token `='
    2. 

  2. bash: X: line 1: `'
    3. 

  3. bash: error importing function definition for `X'
    4. 

  4. Wed Sep 24 14:12:49 PDT 2014
    5. 



暂时还没最靠谱的通用修复方案,关注 Bash 的下一次升级。


原文发布时间:2014-09-26


本文来自云栖合作伙伴“linux中国”
				


				
时间: 2024-09-16 09:18:03

		
		


		


	

	
	

		


		
为什么说破壳漏洞会带来一场全球服务器的浩劫的相关文章


								

		

			

                NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析
			

		

		

									

				本文讲的是NSA泄密事件之SMB系列远程命令执行漏洞及Doublepulsar后门全球数据分析, 1.   概述 2017 年 4 月 14 日,黑客组织Shadow Brokers 公布了一批新的NSA(美国国家安全局)黑客工具.这批黑客工具中含有可以配合使用的一个攻击框架和多个攻击漏洞.这次的工具主要面向的是Windows系统,攻击框架非常易用,漏洞也大都是核弹级别的RCE(远程命令执行),配合框架和漏洞,可以非常容易地在存在漏洞的 Windows 主机上执行命令.植入后门.一时间,各路选手			

		

	

				

		

			

                社交网络首次在这场全球体育盛事中大显身手
			

		

		

									

				伦敦奥运会已经落幕,对于互联网行业来说,本届奥运会与四年前的北京奥运会最大的变化就是社交网络首次在这场全球体育盛事中大显身手,已经成为了内容报道.观众互动以及品牌商凸显影响力的重要一环. 事实上,在北京奥运会之后,社交网络的迅速崛起使其快速成为线上用户的全新入口,并且逐步走上品牌营销的舞台,成为了全新的主角,因此伦敦奥运也被誉为奥运史上的首届"社交奥运". 而在本届奥运会上,全球用户越来越多地通过Facebook.Twitter等平台了解最新的奥运新闻,在线上与兴趣相同的好友们积极互动			

		

	

				

		

			

                Linux有问必答:如何检测并修复bash中的破壳漏洞
			

		

		

									

				Linux有问必答:如何检测并修复bash中的破壳漏洞 问题:我想要知道我的Linux服务器是否存在bash破壳漏洞,以及如何来保护我的Linux服务器不受破壳漏洞侵袭. 2014年9月24日,一位名叫斯特凡·沙泽拉的安全研究者发现了一个名为"破壳"(Shellshock,也称为"bash门"或"Bash漏洞")的bash漏洞.该漏洞如果被渗透,远程攻击者就可以在调用shell前通过在特别精心编制的环境中输出函数定义执行任何程序代码.然后,这些函			

		

	

				

		

			

                开源软件再曝重大漏洞 “幽灵”可远程控制Linux服务器
			

		

		

									

				本文讲的是开源软件再曝重大漏洞 "幽灵"可远程控制Linux服务器,大多数Linux系统中广泛使用的一个组件存在严重漏洞(CVE-2015-0235),攻击者只需发送一封恶意邮件即可远程控制系统.披露该漏洞 的安全厂商Qualysg于周二表示,此漏洞存在于GNU发布的glibc(C运行库,负责定义系统调用)中,被称为"幽灵"(Ghost). 红帽.Debian.Ubuntu和Novell已经发布了更新补丁,建议系统管理员尽快打上. 该漏洞最早于2000年就出现在gl			

		

	

				

		

			

                Gartner:2016 Q2全球服务器市场,中国再度成为亮点
			

		

		

									

				对于IT产品供应商来说,Gartner.IDC等第三方分析机构市场调研报告无疑是一次"中考",成绩优异的论功行赏,迎接鲜花和掌声:差强人意,批斗会将是不可避免的,接下来加班加点,力争挽回被动局势也是预料之中的事情.真是有人欢喜有人愁.对于奥运金牌,人们的观点已经在转变,银牌.铜牌也可以分享鲜花,但商战是无情的,竞争残酷而激烈. 美国时间9月12日, Gartner发布全球服务器市场2016年Q2季度报告,结果显示全球服务器市场仍处在相对低迷的增长周期中.其中,全球服务器Q2出货量276			

		

	

				

		

			

                全球服务器销售额降24%
			

		

		

									

				本报讯 (记者张奕)全球技术研究和咨询公司Gartner发布的一份最新调查表明,一季度全球服务器市场延续2008年下滑趋势,其中销售额同比下降24%,出货量同比下降24.2%,这两个数字均创下了最大降幅纪录. 但与其他国家相比,中国IT硬件行业在这场经济危机中表现出了较强的"抗冲击"能力.昨日,Gartner公司高级副总裁兼全球调研负责人Peter Sondergaard接受采访时告诉记者,Gartner最近一项针对中国106家大型企业的调查显示,超过50%的企业的硬件预算与经济衰退之			

		

	

				

		

			

                [喵咪软件推荐(2)]全球服务器测速工具speedtest-cli
			

		

		

									

				[喵咪软件推荐(2)]全球服务器测速工具speedtest-cli w-blog博客 前言 在上一篇章中给大家介绍了全球国家信息国旗区号等一些全球国家新的库,今天也给大家介绍一个和全球化有关的软件,它的名字叫做speedtest-cli,直译成中文就是速度测试命令,那么究竟是测试什么速度呢? -> 请紧张继续往下看 附上: 喵了个咪的博客:w-blog.cn speedtest-cli GitHub :https://github.com/sivel/speedtest-cli 1.speedt			

		

	

				

		

			

                Gartner:全球服务器市场2014年第4季度出货量增长4.8% 收入增长2.2%
			

		

		

									

				 据Gartner公司的数据显示,2014年第4季度全球服务器出货量同比增长4.8%,收入环比增长2.2%.2014年全年的全球服务器出货量同比增长2.2%,而服务器收入增长为0.8%. Gartner研究副总裁Jeffrey Hewitt表示,"2014年服务器市场的强劲增长有几个因素.从全球范围来看,超大规模数据中心部署以及服务提供商安装驱动了基于x86服务器市场的上扬.企业对服务器件数的影响减少,原因是时下的物理服务器通过x86服务器虚拟化被整合.而尽管大型机和Unix平台市场下跌,整体市			

		

	

				

		

			

                Gartner:2017年Q1全球服务器出货量和收入分别下滑4.2%和4.5%
			

		

		

									

				Gartner的数据显示,2017年第一季度,全球服务器收入同比下降4.5%,出货量较2016年第一季度下滑4.2%. Gartner研究副总裁Jeffrey Hewitt表示:"2017年第一季度,全球市场普遍下滑,各地区降幅略有不同.除了亚太地区逆势走强,其他地区均有所下滑." Hewitt先生补充说:"虽然超大型数据中心市场的采购量持续上升,但这些部门的终端用户通过虚拟化适应增长的应用需求,并且考虑采用云替代方案,因此,大企业和中小企业市场仍然低迷." 按收入