北京時間9月26日上午消息，研究人員周四發布警告稱，黑客已經開始利用最新的“Shellshock”電腦漏洞，借助蠕蟲病毒掃描有漏洞的系統，然后感染這些系統。Shellshock是繼今年四月的“心臟流血”漏洞之后，業界發現的首個重大互聯網威脅。由于后者所影響的OpenSSL加密軟件被用在全球大約三分之二的網絡服務器中，因此影響范圍十分廣泛。

影響范圍

最新的這項漏洞的威脅程度之所以堪比“心臟流血”，一定程度上是因為Shellshock所影響的Bash軟件，同樣被廣泛應用于各類網絡服務器以及其他電腦設備。

但安全專家表示，由于并非所有運行Bash的電腦都存在漏洞，所以受影響的系統數量或許不及“心臟流血”。不過，Shellshock本身的破壞力卻更大，因為黑客可以借此完全控制被感染的機器，不僅能破壞數據，甚至會關閉網絡，或對網站發起攻擊。

與之相比，“心臟流血”漏洞只會導致數據泄漏。

科技行業正在加緊確定哪些系統可能會被黑客遠程利用，但目前還無法估算受影響的系統數量。“我們其實并不知道傳播范圍有多廣，這可能是近年來最難評估的漏洞之一。”知名互聯網安全專家丹·卡明斯基(Dan Kaminsky)說。

專家表示，要成功發起攻擊，目標系統必須接入互聯網，而且要在Bash之外運行第二組有漏洞的代碼。

“有關哪些系統會受影響出現了很多猜測，但我們還不知道答案。”網絡安全公司BeyondTrust CTO馬克·麥福利特(Marc Maiffret)說，“這有可能會在未來幾周或幾個月逐漸明確。”

目標設備

保險公司AEGIS的網絡安全專家喬·漢考克(Joe Hancock)表示，他擔心家用寬帶路由器，以及用于管理關鍵基礎設施的控制器，都有可能遭到攻擊。

“在某些領域，問題可能很難修復，因為很多嵌入式設備無法進行定期升級，甚至根本打不了補丁。”漢考克說。

安全軟件開發商Rapid7首席研究官摩爾(HD Moore)表示，大概需要花費數周甚至數月才能判斷漏洞的具體影響。

“我們目前還不知道自己究竟有什么尚不了解的事情，但我們希望，隨著廠商和研究人員開始評估其產品和服務的流程，可以挖掘出更多漏洞信息。”摩爾在電子郵件中說，“今后幾年可能會不斷看到該漏洞所引發的問題。”

Linux開發商已于周三針對該漏洞發布了補丁，但安全研究人員卻在這些補丁中發現了瑕疵。例如，有專家稱，全球第一大Linux廠商紅帽發布的補丁“不完善”。

“問題在于，現在已經過去24小時了，但我們還在原地踏步。”網絡安全公司Rook Security首席安全顧問麥特·岡沃(Mat Gangwer)說，“人們似乎很驚恐。他們理應驚恐”

蠕蟲攻擊

俄羅斯安全軟件開發商卡巴斯基報告稱，一種電腦蠕蟲已經開始感染存在Shellshock漏洞的電腦。

卡巴斯基研究員大衛·雅各比(David Jacoby)表示，惡意軟件可以控制被感染的設備，發起DoS(拒絕服務)攻擊，從而導致網站癱瘓。除此之外，還可以掃描路由器等其他存在漏洞的設備。但雅各比并不清楚攻擊發起人的身份，也無法確定具體的受害者。

網絡安全公司AlienVault實驗室主任杰米·布拉斯考(Jaime Blasco)表示，他也發現了相同的惡意軟件，以及另外一個利用Shellshock漏洞發起DoS攻擊的蠕蟲。

“心臟流血”是開源加密軟件OpenSSL的一個漏洞，由于全球有三分之二的網站使用OpenSSL，所以可能導致數百萬用戶的數據面臨風險。已經有數十家科技公司針對成百上千款使用OpenSSL的產品發布了安全補丁。