Tweet
全世界超過半數網頁伺服器,因受到潛伏將近20年之久才爆發出來的Bash Shell(指令解讀殼層)漏洞影響,而身陷高風險的資安威脅,10月5日也首次出現以大型入口網站業者雅虎進行的Shellshock漏洞攻擊的實例
過去兩個星期,全世界有超過半數的網頁伺服器,因為受到潛伏了將近20年之久才爆發出來的Bash Shell(指令解讀殼層)漏洞影響,而身陷高風險的資安威脅之中。甚至有資安專家認為,其影響幾乎和今年4月發生的Heartbleed(心臟淌血)漏 洞相當,國外也因而以「Shellshock」名稱作為命名。而就在10月5日也首次出現以大型入口網站業者雅虎進行的Shellshock漏洞攻擊的實 例,因而導致雅虎網站有3臺伺服器遭到駭客進行遠端入侵。
2周前的9月24日,當Shellshock漏洞爆發後不到一天時間,包括美國電腦緊急應變中心(US-CERT)、企業級Linux廠商紅帽及多 家資安網站,皆先後針對Shellshock漏洞發布嚴重資安警告,就連美國國家標準技術局(National Institute of Standards and Technology,NIST)也罕見將Shellshock的資安嚴重程度,跟Heartbleed漏洞,同樣評為最嚴重的10級分。甚至,趨勢科技 也提出警告,若以目前全世界超過10億個網站數量來看,Shellshock的影響範圍甚至比Heartbleed的影響更大。
這個Shellshock漏洞發生後,網路上也接連開始出現大量的網路攻擊流量,駭客開始利用網路掃描IP來鎖定存在Bash弱點的伺服器,作為遠端入侵攻擊的目標。而且不只是企業網站受駭,甚至連大型入口網站都因為Shellshock漏洞而遭受到影響。
國外資安公司Future South近日也揭露了雅虎所使用的3臺Yahoo Sport API伺服器,皆遭到駭客利用Shellshock漏洞進行遠端攻擊,影響的主機包括Yahoo! Network、Lycos及Winzip.com等。
儘管雅虎事後澄清被入侵的伺服器,是因為使用一個用來分析Web log的內部工具有瑕疵,導致駭客能以此入侵伺服器,而非伺服器本身存有Shellshock漏洞,但這也說明了就連雅虎這樣大型入口網站,都可能因為Shellshock漏洞而陷入資安風險當中。
除了網頁伺服器以外,其他像是中小型嵌入式的網路設備也潛藏有Shellshock漏洞的風險。Future South也發現不少中小型嵌入式的網路設備如DSL數據機等,容易遭駭客利用Shellshock漏洞進行遠端入侵。Future South表示,因為這些嵌入式網路設備,大多使用CGI來作為網頁管理介面,同時多數也是採用Linix系統,使其暴露在Shellshock漏洞的風 險中。
Shellshock漏洞恐成為2014年最嚴重的資安漏洞
隨著Shellshock漏洞引起資安危機,就在10月6日,臺灣也有一群駭客舉辦一場Hitcon資安技術論壇,深度剖析Shellshock漏 洞的影響和原理。資安公司vArmour資深工程師,也是臺灣駭客年會創辦人徐千洋在會中表示,這次的Shellshock漏洞,是一個Unix環境變數 引起的漏洞,而現有許多企業網路設備都是使用Linux作業系統,這些作業系統都以Bash shell作為預設指令執行,使得Shellshock的影響範圍非常之廣,甚至可能挑戰成為2014年最嚴重的一個資安漏洞。
過去兩個星期,全世界有超過半數的網頁伺服器,因為受到潛伏了將近20年之久才爆發出來的Bash Shell(指令解讀殼層)漏洞影響,而身陷高風險的資安威脅之中。甚至有資安專家認為,其影響幾乎和今年4月發生的Heartbleed(心臟淌血)漏 洞相當,國外也因而以「Shellshock」名稱作為命名。而就在10月5日也首次出現以大型入口網站業者雅虎進行的Shellshock漏洞攻擊的實 例,因而導致雅虎網站有3臺伺服器遭到駭客進行遠端入侵。
2周前的9月24日,當Shellshock漏洞爆發後不到一天時間,包括美國電腦緊急應變中心(US-CERT)、企業級Linux廠商紅帽及多 家資安網站,皆先後針對Shellshock漏洞發布嚴重資安警告,就連美國國家標準技術局(National Institute of Standards and Technology,NIST)也罕見將Shellshock的資安嚴重程度,跟Heartbleed漏洞,同樣評為最嚴重的10級分。甚至,趨勢科技 也提出警告,若以目前全世界超過10億個網站數量來看,Shellshock的影響範圍甚至比Heartbleed的影響更大。
這個Shellshock漏洞發生後,網路上也接連開始出現大量的網路攻擊流量,駭客開始利用網路掃描IP來鎖定存在Bash弱點的伺服器,作為遠端入侵攻擊的目標。而且不只是企業網站受駭,甚至連大型入口網站都因為Shellshock漏洞而遭受到影響。
國外資安公司Future South近日也揭露了雅虎所使用的3臺Yahoo Sport API伺服器,皆遭到駭客利用Shellshock漏洞進行遠端攻擊,影響的主機包括Yahoo! Network、Lycos及Winzip.com等。
儘管雅虎事後澄清被入侵的伺服器,是因為使用一個用來分析Web log的內部工具有瑕疵,導致駭客能以此入侵伺服器,而非伺服器本身存有Shellshock漏洞,但這也說明了就連雅虎這樣大型入口網站,都可能因為Shellshock漏洞而陷入資安風險當中。
除了網頁伺服器以外,其他像是中小型嵌入式的網路設備也潛藏有Shellshock漏洞的風險。Future South也發現不少中小型嵌入式的網路設備如DSL數據機等,容易遭駭客利用Shellshock漏洞進行遠端入侵。Future South表示,因為這些嵌入式網路設備,大多使用CGI來作為網頁管理介面,同時多數也是採用Linix系統,使其暴露在Shellshock漏洞的風 險中。
Shellshock漏洞恐成為2014年最嚴重的資安漏洞
隨著Shellshock漏洞引起資安危機,就在10月6日,臺灣也有一群駭客舉辦一場Hitcon資安技術論壇,深度剖析Shellshock漏 洞的影響和原理。資安公司vArmour資深工程師,也是臺灣駭客年會創辦人徐千洋在會中表示,這次的Shellshock漏洞,是一個Unix環境變數 引起的漏洞,而現有許多企業網路設備都是使用Linux作業系統,這些作業系統都以Bash shell作為預設指令執行,使得Shellshock的影響範圍非常之廣,甚至可能挑戰成為2014年最嚴重的一個資安漏洞。
