Shellshock漏洞威胁超心脏出血：已被黑客攻击

9月26日上午消息，研究人员周四发布警告称，黑客已经开始利用最新的“Shellshock”电脑漏洞，借助蠕虫病毒扫描有漏洞的系统，然后感染这些系统。

影响范围

Shellshock是继今年四月的“心脏流血”漏洞之后，业界发现的首个重大互联网威胁。由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中，因此影响范围十分广泛。

最新的这项漏洞的威胁程度之所以堪比“心脏流血”，一定程度上是因为Shellshock所影响的Bash软件，同样被广泛应用与各类网络服务器以及其他电脑设备。

但安全专家表示，由于并非所有运行Bash的电脑都存在漏洞，所以受影响的系统数量或许不及“心脏流血”。不过，Shellshock本身的破坏力却更大，因为黑客可以借此完全控制被感染的机器，不仅能破坏数据，甚至会关闭网络，或对网站发起攻击。

与之相比，“心脏流血”漏洞只会导致数据泄漏。

科技行业正在加紧确定哪些系统可能会被黑客远程利用，但目前还无法估算受影响的系统数量。“我们其实并不知道传播范围有多广，这可能是近年来最难评估的漏洞之一。”知名互联网安全专家丹·卡明斯基(Dan Kaminsky)说。

专家表示，要成功发起攻击，目标系统必须接入互联网，而且要在Bash之外运行第二组有漏洞的代码。

“有关哪些系统会受影响出现了很多猜测，但我们还不知道答案。”网络安全公司BeyondTrust CTO马克·麦福利特(Marc Maiffret)说，“这有可能会在未来几周或几个月逐渐明确。”

目标设备

保险公司AEGIS的网络安全专家乔·汉考克(Joe Hancock)表示，他担心家用宽带路由器，以及用于管理关键基础设施的控制器，都有可能遭到攻击。

“在某些领域，问题可能很难修复，因为很多嵌入式设备无法进行定期升级，甚至根本打不了补丁。”汉考克说。

安全软件开发商Rapid7首席研究官摩尔(HD Moore)表示，大概需要花费数周甚至数月才能判断漏洞的具体影响。

“我们目前还不知道自己究竟有什么尚不了解的事情，但我们希望，随着厂商和研究人员开始评估其产品和服务的流程，可以挖掘出更多漏洞信息。”摩尔在电子邮件中说，“今后几年可能会不断看到该漏洞所引发的问题。”

Linux开发商已于周三针对该漏洞发布了补丁，但安全研究人员却在这些补丁中发现了瑕疵。例如，有专家称，全球第一大Linux厂商红帽发布的补丁“不完善”。

“问题在于，现在已经过去24小时了，但我们还在原地踏步。”网络安全公司Rook Security首席安全顾问麦特·冈沃(Mat Gangwer)说，“人们似乎很惊恐。他们理应惊恐”

蠕虫攻击

俄罗斯安全软件开发商卡巴斯基报告称，一种电脑蠕虫已经开始感染存在Shellshock漏洞的电脑。

卡巴斯基研究员大卫·雅各比(David Jacoby)表示，恶意软件可以控制被感染的设备，发起DoS(拒绝服务)攻击，从而导致网站瘫痪。除此之外，还可以扫描路由器等其他存在漏洞的设备。但雅各比并不清楚攻击发起人的身份，也无法确定具体的受害者。

网络安全公司AlienVault实验室主任杰米·布拉斯考(Jaime Blasco)表示，他也发现了相同的恶意软件，以及另外一个利用Shellshock漏洞发起DoS攻击的蠕虫。

“心脏流血”是开源加密软件OpenSSL的一个漏洞，由于全球有三分之二的网站使用OpenSSL，所以可能导致数百万用户的数据面临风险。已经有数十家科技公司针对成百上千款使用OpenSSL的产品发布了安全补丁。