紅帽和蘋果等供應(yīng)商仍然在努力修復(fù)Bourne-again shell(Bash)中的“Shellshock”漏洞，而現(xiàn)已有新的證據(jù)顯示攻擊者已經(jīng)在試圖利用這個漏洞。

這個Bash安全漏洞(CVE-2014-6271)在公布后就引起廣泛的關(guān)注和猜測，很多安全專家稱這個漏洞可能比臭名昭著的Heartbleed OpenSSL漏洞更糟糕。攻擊者可以“在函數(shù)被Bash shell處理之前將惡意代碼放在函數(shù)最后”，從而觸發(fā)這個漏洞。Bash shell是Linux操作系統(tǒng)內(nèi)的默認(rèn)元素，也存在于蘋果的Mac OS X中。

這個漏洞非常危險的原因在于攻擊者可以很容易地利用它，這也是為什么該漏洞在通用安全漏洞評分系統(tǒng)(CVSS)被評為10.0的主要原因，10.0是該評分系統(tǒng)的最高評級;再加上該漏洞的普遍性，攻擊者得以迅速利用的行為并不足為奇。

首先，Errata Security公司首席執(zhí)行官Robert Graham在其公司博客發(fā)布的研究顯示了如何通過掃描互聯(lián)網(wǎng)中易受攻擊的系統(tǒng)讓Bash安全漏洞變成“可攻擊”的漏洞。研究已經(jīng)發(fā)現(xiàn)，攻擊者重寫Graham的腳本，以在易受攻擊的系統(tǒng)響應(yīng)時來下載惡意軟件。攻擊者甚至在代碼(現(xiàn)在托管在GitHub)中提到了Graham的工作，代碼中添加了“Thanks-Rob”。

“有人正在使用masscan來提供惡意軟件，它們很可能已經(jīng)感染了我所發(fā)現(xiàn)的大部分系統(tǒng)，”Graham在博客中表示，“如果他們使用不同的網(wǎng)址和修復(fù)Host字段，將能感染更多的系統(tǒng)。”

SANS研究所互聯(lián)網(wǎng)風(fēng)暴中心負(fù)責(zé)人Johannes Ullrich在SANS網(wǎng)站的博客文章中證實，該研究機構(gòu)的Web服務(wù)器已經(jīng)遭受多次針對Bash漏洞的試探攻擊。Ullrich表示，攻擊者目前正在通過掃描調(diào)用CGI腳本，而尋找有漏洞的系統(tǒng)，同時，DHCP客戶端和SSH服務(wù)器也可能被利用。

AlienVault實驗室主管Jaime Blasco在該供應(yīng)商的博客中發(fā)布了進(jìn)一步的證據(jù)以說明攻擊者正在試圖利用Bash漏洞。AlienVault設(shè)置蜜罐來檢測漏洞利用，并在24小時內(nèi)發(fā)現(xiàn)若干系統(tǒng)在掃描蜜罐以尋找易受攻擊的機器。

Blasco表示，更有趣的是，他們發(fā)現(xiàn)兩個攻擊者正在試圖安裝惡意軟件。第一次攻擊下載了可執(zhí)行可連接(ELF)二進(jìn)制文件來識別指紋和試圖竊取系統(tǒng)信息，它甚至包含代碼來識別蜜罐。該惡意軟件試圖連接至命令控制(C&C)服務(wù)器，并支持很多命令，其中一些被用于拒絕服務(wù)攻擊。

Blasco表示，AlienVault收集的其他惡意軟件樣本是一個重新啟用的IRC僵尸機器，看似是由羅馬尼亞語言的攻擊者控制的。該攻擊由PERL腳本啟動，這個腳本會感染一臺有漏洞的機器，然后該機器被連接到443端口的IRC服務(wù)器(185.31.209.84)。在受害者連接后，攻擊者會執(zhí)行兩個命令—“uname-a”和“id”來查看用戶名和操作系統(tǒng)。

據(jù)Blasco表示，當(dāng)AlienVault蜜罐系統(tǒng)被感染時，共有715名用戶連接到IRC服務(wù)器，在該博客文章發(fā)布時又有20多名用戶落入了僵尸網(wǎng)絡(luò)。

Blasco通過電子郵件表示：“經(jīng)發(fā)現(xiàn)，僵尸機器的主要目的是執(zhí)行拒絕服務(wù)攻擊。”