“Shellshock”的Bash(GNU Bourne-Again Shell)安全漏洞被稱為今年下半年影響最大的“毀滅級(jí)”漏洞，該漏洞影響范圍遍及全球大約5億臺(tái)服務(wù)器和其他聯(lián)網(wǎng)設(shè)備，包括手機(jī)、路由器、醫(yī)療設(shè)備等。以Linux和Unix為基礎(chǔ)的操作系統(tǒng)都有可能受到影響，威脅到約占全球51%的網(wǎng)站。這個(gè)漏洞允許黑客向網(wǎng)絡(luò)服務(wù)器發(fā)出遙控指令，因此存儲(chǔ)在服務(wù)器的隱私信息很容易被從受影響的服務(wù)器中竊走。

Bash漏洞因何可怕

Shellshock被稱為“毀滅級(jí)”，在通用安全漏洞評(píng)分系統(tǒng)(CVSS)被評(píng)為10.0，而10.0已經(jīng)是該評(píng)分系統(tǒng)的最高評(píng)級(jí)。它危險(xiǎn)的原因在于攻擊者可以很容易地利用它進(jìn)行破壞。

Shellshock為遠(yuǎn)程解析命令執(zhí)行漏洞(CVE-2014-6271)，可以直接在Bash支持的Web CGI環(huán)境下遠(yuǎn)程執(zhí)行任何命令。這也就使得一些路由器、堡壘機(jī)、VPN等網(wǎng)絡(luò)設(shè)備將會(huì)成為重災(zāi)區(qū)，另外各大Linux發(fā)行版和Mac OS X系統(tǒng)都受影響，甚至Android也會(huì)受到影響。

從時(shí)間上來(lái)看，從漏洞披露到Shellshock蠕蟲(chóng)病毒出現(xiàn)，僅僅只經(jīng)歷了一天時(shí)間，時(shí)間間隔非常短。在這樣短的時(shí)間里，給所有可能被感染的系統(tǒng)升級(jí)補(bǔ)丁是不現(xiàn)實(shí)的事情，進(jìn)一步加劇了該漏洞的可怕程度。

Shellshock如何工作

Shellshock出現(xiàn)的核心原因在于在輸入的過(guò)濾中沒(méi)有嚴(yán)格限制邊界，也沒(méi)有做出合法化的參數(shù)判斷。目前的Bash使用的環(huán)境變量是通過(guò)函數(shù)名稱來(lái)調(diào)用的，導(dǎo)致漏洞出問(wèn)題是以“(){”開(kāi)頭定義的環(huán)境變量在命令ENV中解析成函數(shù)后，Bash執(zhí)行并未退出，而是繼續(xù)解析并執(zhí)行該命令。

這個(gè)漏洞本身是不能夠直接導(dǎo)致遠(yuǎn)程代碼執(zhí)行的，如果要達(dá)到遠(yuǎn)程代碼執(zhí)行的目的，必須要借助第三方服務(wù)程序作為媒介才能夠?qū)崿F(xiàn)。如果攻擊者無(wú)法執(zhí)行導(dǎo)出環(huán)境變量ENV值的操作，也就從根本上杜絕了危險(xiǎn)的發(fā)生。浪潮SSR恰恰可以滿足這個(gè)需求，從而將Shellshock漏洞的危險(xiǎn)有效隔離。

Bash漏洞來(lái)勢(shì)兇猛 浪潮SSR主動(dòng)防御

CVE-2014-6271漏洞實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行原理圖

浪潮SSR主動(dòng)防御化解漏洞風(fēng)險(xiǎn)

浪潮SSR操作系統(tǒng)安全增強(qiáng)系統(tǒng)(簡(jiǎn)稱“浪潮SSR”)是浪潮基于操作系統(tǒng)內(nèi)核層開(kāi)發(fā)的安全加固軟件，可以從根本上免疫各類病毒、木馬和黑客攻擊，化解Shellshock的帶來(lái)的系統(tǒng)風(fēng)險(xiǎn)。

SSR能夠免疫病毒木馬，抵御黑客攻擊的根本原因在于其采用的ROST技術(shù)對(duì)系統(tǒng)中的文件、注冊(cè)表、進(jìn)程、網(wǎng)絡(luò)、服務(wù)、帳戶等多方面進(jìn)行防護(hù)構(gòu)建立體防護(hù)體系，核心在于“強(qiáng)制訪問(wèn)”。

SSR的文件強(qiáng)制訪問(wèn)控制分為兩個(gè)部分：一部分是基于用戶對(duì)文件的訪問(wèn)控制，另一部分是基于進(jìn)程對(duì)文件的訪問(wèn)控制。在針對(duì)用戶的訪問(wèn)控制中，SSR默認(rèn)禁止所有用戶綁定端口以及遠(yuǎn)程連接網(wǎng)絡(luò)資源，這樣可以防止非法取得控制權(quán)限的黑客制造系統(tǒng)的隱蔽信道以及竊取網(wǎng)絡(luò)資源。針對(duì)進(jìn)程的訪問(wèn)控制問(wèn)題，SSR提供了一套機(jī)制可以使一些重要的進(jìn)程不被任何人異常終止。SSR成功安裝后，系統(tǒng)的核心層已經(jīng)與Linux緊密結(jié)合，系統(tǒng)的根目錄文件得以防護(hù)。

在本次Bash漏洞中，因?yàn)锽ash腳本基于bin根文件下，當(dāng)SSR安裝后，根目錄bin默認(rèn)是被防護(hù)的，無(wú)法執(zhí)行導(dǎo)出環(huán)境變量ENV值，也就保證了系統(tǒng)不會(huì)受到病毒的侵害。

Bash漏洞來(lái)勢(shì)兇猛 浪潮SSR主動(dòng)防御

系統(tǒng)進(jìn)程名截圖

如系統(tǒng)進(jìn)程名截圖所示，可以看到Bash也在SSR防護(hù)范圍內(nèi)，攻擊者無(wú)法執(zhí)行函數(shù)命令，可以有效阻止了攻擊行為的發(fā)生。

如果說(shuō)“打補(bǔ)丁”的方式是被動(dòng)彌補(bǔ)，那么SSR的方式則是主動(dòng)防御，把危險(xiǎn)化解在尚未出現(xiàn)之前。SSR只允許可信的帳戶和進(jìn)程訪問(wèn)被保護(hù)資源，即使惡意代碼利用漏洞獲取了系統(tǒng)的權(quán)限，也不能破壞系統(tǒng)文件和植入木馬，從而降低了從“零日漏洞”發(fā)現(xiàn)到用戶打上補(bǔ)丁之間這段“真空期”的安全風(fēng)險(xiǎn)，同時(shí)允許用戶延遲補(bǔ)丁部署，推遲到定期修補(bǔ)周期進(jìn)行修補(bǔ)。