2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程者在受影响的系统上执行任意代码。GNU Bash 是一个为 GNU 计划编写的 Unix Shell,广泛使用在 Linux 系统内,最初的功能仅是一个简单的基于终端的命令解释器。这意味全球至少 150 万的主机将受到影响,此外Linux/Unix 世的和苹果都难幸免。
破壳漏洞(ShellShock)的严重性被定义为 10 级(最高),今年 4 月爆发的 OpenSSL「心脏出血」漏洞才 5 级!
GNU Bash 4.3 及之前版本在评估某些构造的变量时存在安全漏洞,向变量值内的函数定义后添加多余的字符串会触发此漏洞,者可利用此漏洞改变或绕过,以执行 Shell 命令。某些服务和应用允许未经身份验证的远程者提供变量以利用此漏洞。此漏洞源于在调用 Bash Shell 之前可以用构造的值创建变量。这些变量可以包含代码,在 Shell 被调用后会被立即执行。
这个破壳漏洞确实是一个危害极大的漏洞,胜于今年 4 月 8 号爆发的「心脏出血」,但破壳漏洞的探测方式很复杂,不同的组件测试方式有所区别,很难评估一个影响面,但是可以肯定的是 Bash=4.3 版本都受影响,而 Bash 在至少百亿级别数量的设备上使用,因为 Bash 是最流行的 Linux Shell。
来自知道创宇的 ZoomEye 团队通过几种方式的组合检测,得到了些影响结论。
第一组数据
经过 ZoomEye 的特殊探测,发现国内某厂家的互联网系统在全国范围内有 13254 台设备受到破壳漏洞影响,可被直接远程。
第二组数据
经过 ZoomEye 的 Fuzzing 探测,全球大概存在 142000 主机受影响,需要注意的是由于 Fuzzing 规则不完备,得到的数量肯定会不完备,但这个数字至少可以看到可被直接远程利用的面很大。
第三组数据
我们看到 masscan 的发布了消息:他们全球探测的结论是:至少 150 万受影响,而这验证规则很简单,仅对主机的 80 端口进行直接请求,这个结论我们也在验证。
可以从这几组数据看到,探测方式各不相同,如果继续扩展可以逐步描绘出越来越清晰的影响面(可直接远程),知道创宇会继续。
在 SSHD 配置中使用了 ForceCommand 用以远程用户执行命令,这个漏洞可以绕过去执行任何命令。一些 Git 和 Subversion 部署的 Shell 也会出现类似情况,OpenSSH 通常用法没有问题。
延伸内容: