2014年9月24日Bash被公布存在遠(yuǎn)程代碼執(zhí)行漏洞，隨后安天實(shí)驗(yàn)室安全研究與應(yīng)急處理中心在第一時(shí)間根據(jù)信息研判，確認(rèn)該漏洞可以產(chǎn)生嚴(yán)重的后果，且分布廣泛，于北京時(shí)間9月24日早晨5時(shí)30分啟動了A級風(fēng)險(xiǎn)應(yīng)急響應(yīng)。

詳細(xì)報(bào)告請點(diǎn)擊：http://down.51cto.com/data/1886498

安天CERT針對該漏洞進(jìn)行了嚴(yán)格地分析驗(yàn)證，確認(rèn)該漏洞會影響目前主流的Linux和Mac OSX操作系統(tǒng)平臺，包括但不限于Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux、OS X 10.10等平臺。該漏洞可以通過構(gòu)造環(huán)境變量的值來執(zhí)行想要執(zhí)行的攻擊代碼腳本，會影響到與Bash交互的多種應(yīng)用，包括HTTP、OpenSSH、DHCP等。根據(jù)目前的漏洞驗(yàn)證情況以及已經(jīng)流傳的POC情況，這個(gè)漏洞將嚴(yán)重影響網(wǎng)絡(luò)基礎(chǔ)設(shè)施的安全，包括但不限于網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備、云和大數(shù)據(jù)中心等。

根據(jù)信息檢索，本漏洞發(fā)現(xiàn)者為法國GNU/LINUX研究者StéphaneChazelas，發(fā)現(xiàn)時(shí)間為2014年9月中旬，而披露時(shí)間為2014年9月24日。

特別是Bash廣泛地分布和存在于設(shè)備中，其消除過程將非常長尾，且易于利用其編寫蠕蟲進(jìn)行自動化傳播，同時(shí)也將導(dǎo)致僵尸網(wǎng)絡(luò)的發(fā)展，目前已有多個(gè)境外安全機(jī)構(gòu)發(fā)出了警告。

安天CERT目前已驗(yàn)證在Red Hat、CentOS、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均擁有存在CVE-2014-6271漏洞的Bash版本，同時(shí)由于Bash在各主流操作系統(tǒng)的廣泛應(yīng)用，此漏洞的影響范圍包括但不限于大多數(shù)應(yīng)用Bash的Unix、Linux、Mac OS X，而針對這些操作系統(tǒng)管理下的數(shù)據(jù)均存在高危威脅。漏洞的利用方式會通過與Bash交互的多種應(yīng)用展開，包括HTTP、OpenSSH、DHCP等。

安天CERT目前抽樣驗(yàn)證當(dāng)前出廠預(yù)裝的Android操作系統(tǒng)暫不支持ENV命令，可推測針對Android操作系統(tǒng)受到此漏洞影響的可能性較小。

這是安天CERT今年內(nèi)第二次做出A級響應(yīng)，而此前一次是Heart Bleed(心臟出血)。當(dāng)我們回望安天A級響應(yīng)的檔案，我們看到了很多熟悉的名字：口令蠕蟲、震蕩波、沖擊波……

而在“心臟出血”出現(xiàn)之前的幾年時(shí)間內(nèi)，正是威脅高度定向化發(fā)展的時(shí)代，安天CERT的工作重心轉(zhuǎn)向去分析更為精致、漫長的APT攻擊，已經(jīng)有多年未啟動過A級響應(yīng)。所以當(dāng)“心臟出血”到來的時(shí)候，我們顯得那樣慌亂。我們已經(jīng)不習(xí)慣被凌晨從睡夢中叫醒，我們突然發(fā)現(xiàn)基礎(chǔ)環(huán)境需要重新搭建。當(dāng)時(shí)我們的感覺是，如同一群在犯罪現(xiàn)場小心取證、捉摸研究的偵探，突然發(fā)現(xiàn)全城大火，任務(wù)迅速變成全體去參與救火……而對安全分析工程師來說，只要重入火線，就可以喚醒沉睡的敏銳和血性。

詳細(xì)報(bào)告請點(diǎn)擊：http://down.51cto.com/data/1886498