红帽和苹果等供应商仍然在努力修复Bourne-again shell(Bash)中的“Shellshock”漏洞,而现已有新的证据显示攻击者已经在试图利用这个漏洞。
这个Bash安全漏洞(CVE-2014-6271)在公布后就引起广泛的关注和猜测,很多安全专家称这个漏洞可能比臭名昭著的Heartbleed OpenSSL漏洞更糟糕。攻击者可以“在函数被Bash shell处理之前将恶意代码放在函数最后”,从而触发这个漏洞。Bash shell是Linux操作系统内的默认元素,也存在于苹果的Mac OS X中。
这个漏洞非常危险的原因在于攻击者可以很容易地利用它,这也是为什么该漏洞在通用安全漏洞评分系统(CVSS)被评为10.0的主要原因,10.0是该评分系统的最高评级;再加上该漏洞的普遍性,攻击者得以迅速利用的行为并不足为奇。
首先,Errata Security公司首席执行官Robert Graham在其公司博客发布的研究显示了如何通过扫描互联网中易受攻击的系统让Bash安全漏洞变成“可攻击”的漏洞。研究已经发现,攻击者重写Graham的脚本,以在易受攻击的系统响应时来下载恶意软件。攻击者甚至在代码(现在托管在GitHub)中提到了Graham的工作,代码中添加了“Thanks-Rob”。
“有人正在使用masscan来提供恶意软件,它们很可能已经感染了我所发现的大部分系统,”Graham在博客中表示,“如果他们使用不同的网址和修复Host字段,将能感染更多的系统。”
SANS研究所互联网风暴中心负责人Johannes Ullrich在SANS网站的博客文章中证实,该研究机构的Web服务器已经遭受多次针对Bash漏洞的试探攻击。Ullrich表示,攻击者目前正在通过扫描调用CGI脚本,而寻找有漏洞的系统,同时,DHCP客户端和SSH服务器也可能被利用。
AlienVault实验室主管Jaime Blasco在该供应商的博客中发布了进一步的证据以说明攻击者正在试图利用Bash漏洞。AlienVault设置蜜罐来检测漏洞利用,并在24小时内发现若干系统在扫描蜜罐以寻找易受攻击的机器。
Blasco表示,更有趣的是,他们发现两个攻击者正在试图安装恶意软件。第一次攻击下载了可执行可连接(ELF)二进制文件来识别指纹和试图窃取系统信息,它甚至包含代码来识别蜜罐。该恶意软件试图连接至命令控制(C&C)服务器,并支持很多命令,其中一些被用于拒绝服务攻击。
Blasco表示,AlienVault收集的其他恶意软件样本是一个重新启用的IRC僵尸机器,看似是由罗马尼亚语言的攻击者控制的。该攻击由PERL脚本启动,这个脚本会感染一台有漏洞的机器,然后该机器被连接到443端口的IRC服务器(185.31.209.84)。在受害者连接后,攻击者会执行两个命令—“uname-a”和“id”来查看用户名和操作系统。
据Blasco表示,当AlienVault蜜罐系统被感染时,共有715名用户连接到IRC服务器,在该博客文章发布时又有20多名用户落入了僵尸网络。