2014 年 9 月 24 日,Bash 惊爆严重安全漏洞,编号为 CVE-2014-6271,该漏洞将导致远程攻击者在受影响的系统上执行任意代码。GNU Bash 是一个为 GNU 计划编写的 Unix Shell,广泛使用在 Linux 系统内,最初的功能仅是一个简单的基于终端的命令解释器。这意味全球至少 150 万的主机将受到影响,此外Linux/Unix 世界内的安卓和苹果都难幸免。
破壳漏洞(ShellShock)的严重性被定义为 10 级(最高),今年 4 月爆发的 OpenSSL「心脏出血」漏洞才 5 级!
漏洞描述:
GNU Bash 4.3 及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行 Shell 命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用 Bash Shell 之前可以用构造的值创建环境变量。这些变量可以包含代码,在 Shell 被调用后会被立即执行。
影响情况:
这个破壳漏洞确实是一个危害极大的漏洞,胜于今年 4 月 8 号爆发的「心脏出血」,但破壳漏洞的探测方式很复杂,不同的组件测试方式有所区别,很难评估一个影响面,但是可以肯定的是 Bash<=4.3 版本都受影响,而 Bash 在至少百亿级别数量的设备上使用,因为 Bash 是最流行的 Linux Shell。
来自知道创宇的 ZoomEye 团队通过几种方式的组合检测,得到了些影响结论。
第一组数据
经过 ZoomEye 的特殊探测,发现国内某厂家的互联网系统在全国范围内有 13254 台设备受到破壳漏洞影响,可被直接远程攻击。
第二组数据
经过 ZoomEye 的 Fuzzing 探测,全球大概存在 142000 主机受影响,需要注意的是由于 Fuzzing 规则不完备,得到的数量肯定会不完备,但这个数字至少可以看到可被直接远程攻击利用的面很大。
第三组数据
我们看到 masscan 的官方发布了消息:他们全球探测的结论是:至少 150 万受影响,而这验证规则很简单,仅对主机的 80 端口进行直接请求,这个结论我们也在验证。
可以从这几组数据看到,探测方式各不相同,如果继续扩展可以逐步描绘出越来越清晰的影响面(可直接远程攻击),知道创宇会继续。
破壳漏洞几个有趣点:此漏洞可能会影响到的地方
注:以下几点参考自:https://raw.githubusercontent.com/citypw/DNFWAH/master/4/d4_0x07_DNFWAH_shellshock_bash_story_cve-2014-6271.txt
且结论经过我们验证有效。
漏洞验证,可以使用如下命令来检查系统是否存在此漏洞:
CVE-2014-6271 测试方式:
env x='() { :;}; echo vulnerable’ bash -c “echo this is a test”
注:CVE-2014-6271 的漏洞源码级分析请参考:
修补后,又被绕过,CVE-2014-7169 最新测试方法:
$ env -i X='() { (a)=>\’ bash -c ‘echo date’; cat echo
如执行结果如下则仍然存在漏洞:
bash: X: line 1: syntax error near unexpected token `=’bash: X: line 1: `’bash: error importing function definition for `X’Wed Sep 24 14:12:49 PDT 2014
暂时还没最靠谱的通用修复方案,关注 Bash 的下一次升级。
,爱人,却不一定能够听懂。他们听见的,多是抱怨不休,心烦意乱。
