不知道是怎么一回事，似乎總是有另一場互聯(lián)網(wǎng)安全災(zāi)難會出現(xiàn)在下一個拐角。幾個月之前，每個人都為“心臟出血”漏洞感到恐慌。

現(xiàn)在出現(xiàn)的這個漏洞——Shellshock(正式的名稱是CVE-2014-6271)是一個嚴(yán)重得多的安全漏洞——正在互聯(lián)網(wǎng)上肆意橫行。永遠(yuǎn)都不是恐慌的最佳時機(jī)，但是如果你感到氣餒，我不會責(zé)怪你;因為我知道自己也正在氣餒。

現(xiàn)在回想起來，對于心臟滴血漏洞的關(guān)切似乎放錯了地方。這是由于可能導(dǎo)致信息泄露的漏洞雖然非常糟糕，但是它只會導(dǎo)致信息泄露，而且它比較難以利用。利用Shellshock漏洞可能的攻擊面非常寬，而且它非常容易被利用，根據(jù)研究公司Fireeye的研究表明，這一漏洞已經(jīng)被廣泛使用，該公司表示他們已經(jīng)觀察到了幾種形式的攻擊：

◆惡意軟件droppers

◆反向shells和后門

◆數(shù)據(jù)泄露

◆拒絕服務(wù)攻擊(DDoS)

當(dāng)然，不僅僅是Fireeye;每個人都在報告漏洞被利用的各種蛛絲馬跡。看看Kaspersky、Trend Micro、HP Security Research和其他的一些網(wǎng)站吧。

說到惠普，他們的TippingPoint部門指出他們的網(wǎng)絡(luò)IPS已經(jīng)進(jìn)行了更新，能夠識別出已知的利用Shellshock漏洞的攻擊。嚴(yán)格更新的IPS——不僅僅部署在網(wǎng)絡(luò)周邊，也部署在網(wǎng)絡(luò)中重要的節(jié)點上——可以有效防護(hù)你的系統(tǒng)免受已知的Shellshock漏洞攻擊。惠普當(dāng)然不是唯一采用IPS的。請記住，IPS更多的是對于已知攻擊方法的防護(hù)，而不是對于這個漏洞總體上的防御。

這種特殊的bug在Bash shell中存在的時間已經(jīng)超過了二十年。這意味著情況非常糟糕。首先，它意味著一個極其重要而且極其流行的程序并沒有經(jīng)歷過嚴(yán)謹(jǐn)?shù)膶彶?，或者說檢查得非常馬虎。當(dāng)然還有很多其他類似的問題。如果其中有一些漏洞暗中被精心利用了很多年，請不要感到吃驚。事實上，如果Shellshock這個漏洞在以前被人利用過也不讓人吃驚。

圍繞著Shellshock可能會出現(xiàn)各種可怕的情景。并不局限于網(wǎng)絡(luò)服務(wù)器攻擊。Fireeye展示了不同類型的互聯(lián)網(wǎng)服務(wù)，甚至包括DHCP和SSH也可能被利用來進(jìn)行攻擊，只要它們使用了Bash外殼，而它們往往如此。他們展示了自動點擊欺詐、盜取主機(jī)密碼文件、利用服務(wù)器進(jìn)行拒絕服務(wù)(DDOS)攻擊以及在沒有運行任何惡意軟件的服務(wù)器上建立shell的幾種方法。

這個漏洞另一個討厭的方面是有這么多的*NIX服務(wù)器都看不見/忘記了。這些服務(wù)器(通常)都沒有定期運行的自動升級程序。心臟流血漏洞也是如此，但是OpenSSL在普及程度方面完全比不上Bash，即使是使用了OpenSSL，處理的往往也不是關(guān)鍵信息……

在最初的更新被證明并不足夠之后，對開放源代碼軟件社區(qū)的信心已經(jīng)很微弱了。Shellshock安全漏洞一直等到補(bǔ)丁就位了之后才被公布，但是很快進(jìn)一步的研究就表明存在著更多相關(guān)的漏洞，這些漏洞也需要通過補(bǔ)丁修復(fù)。(目前Bash的版本已經(jīng)解決了所有已知的漏洞——不過不包括任何一個未知的漏洞)。

當(dāng)然，亡羊補(bǔ)牢就像是一個輸家的比賽。如同心臟出血和很多較早期的安全漏洞危機(jī)已經(jīng)證明的那樣，如果你想要終結(jié)這種局面，就需要一個積極的審核政策和程序。正確執(zhí)行這樣的政策能夠讓你知道你的網(wǎng)絡(luò)上軟件的情況。你真的想要做到這一點，因為那些已經(jīng)侵入你的網(wǎng)絡(luò)的攻擊者們可能也已經(jīng)有一個了。你至少需要和他們的反應(yīng)速度一樣快。

每個人都同意這是一個苦差事，也同意這是最好的做法，但是很少有人有時間這樣做。即使這種做法從很大程度上來說只是稍微好一點的應(yīng)對方式，還是能夠幫助發(fā)現(xiàn)網(wǎng)絡(luò)中未經(jīng)授權(quán)的軟件，這是一個額外的好處。你對于自己擁有哪些軟件、這些軟件運行在哪里了解的越少，你花在應(yīng)對Shellshock之類的危機(jī)的時間就越長。如果你的反應(yīng)遲緩導(dǎo)致了客戶或者第三方的損失，他們可以理直氣壯地說你沒有竭盡全力保護(hù)自己的系統(tǒng)。