紅帽和蘋(píng)果等供應(yīng)商仍然在努力修復(fù)Bourne-again shell(Bash)中的“Shellshock”漏洞，而現(xiàn)已有新的證據(jù)顯示攻擊者已經(jīng)在試圖利用這個(gè)漏洞。

這個(gè)Bash安全漏洞(CVE-2014-6271)在公布后就引起廣泛的關(guān)注和猜測(cè)，很多安全專(zhuān)家稱(chēng)這個(gè)漏洞可能比臭名昭著的Heartbleed OpenSSL漏洞更糟糕。攻擊者可以“在函數(shù)被Bash shell處理之前將惡意代碼放在函數(shù)最后”，從而觸發(fā)這個(gè)漏洞。Bash shell是Linux操作系統(tǒng)內(nèi)的默認(rèn)元素，也存在于蘋(píng)果的Mac OS X中。

這個(gè)漏洞非常危險(xiǎn)的原因在于攻擊者可以很容易地利用它，這也是為什么該漏洞在通用安全漏洞評(píng)分系統(tǒng)(CVSS)被評(píng)為10.0的主要原因，10.0是該評(píng)分系統(tǒng)的最高評(píng)級(jí);再加上該漏洞的普遍性，攻擊者得以迅速利用的行為并不足為奇。

首先，Errata Security公司首席執(zhí)行官Robert Graham在其公司博客發(fā)布的研究顯示了如何通過(guò)掃描互聯(lián)網(wǎng)中易受攻擊的系統(tǒng)讓Bash安全漏洞變成“可攻擊”的漏洞。研究已經(jīng)發(fā)現(xiàn)，攻擊者重寫(xiě)Graham的腳本，以在易受攻擊的系統(tǒng)響應(yīng)時(shí)來(lái)下載惡意軟件。攻擊者甚至在代碼(現(xiàn)在托管在GitHub)中提到了Graham的工作，代碼中添加了“Thanks-Rob”。

“有人正在使用masscan來(lái)提供惡意軟件，它們很可能已經(jīng)感染了我所發(fā)現(xiàn)的大部分系統(tǒng)，”Graham在博客中表示，“如果他們使用不同的網(wǎng)址和修復(fù)Host字段，將能感染更多的系統(tǒng)。”

SANS研究所互聯(lián)網(wǎng)風(fēng)暴中心負(fù)責(zé)人Johannes Ullrich在SANS網(wǎng)站的博客文章中證實(shí)，該研究機(jī)構(gòu)的Web服務(wù)器已經(jīng)遭受多次針對(duì)Bash漏洞的試探攻擊。Ullrich表示，攻擊者目前正在通過(guò)掃描調(diào)用CGI腳本，而尋找有漏洞的系統(tǒng)，同時(shí)，DHCP客戶(hù)端和SSH服務(wù)器也可能被利用。

AlienVault實(shí)驗(yàn)室主管Jaime Blasco在該供應(yīng)商的博客中發(fā)布了進(jìn)一步的證據(jù)以說(shuō)明攻擊者正在試圖利用Bash漏洞。AlienVault設(shè)置蜜罐來(lái)檢測(cè)漏洞利用，并在24小時(shí)內(nèi)發(fā)現(xiàn)若干系統(tǒng)在掃描蜜罐以尋找易受攻擊的機(jī)器。

Blasco表示，更有趣的是，他們發(fā)現(xiàn)兩個(gè)攻擊者正在試圖安裝惡意軟件。第一次攻擊下載了可執(zhí)行可連接(ELF)二進(jìn)制文件來(lái)識(shí)別指紋和試圖竊取系統(tǒng)信息，它甚至包含代碼來(lái)識(shí)別蜜罐。該惡意軟件試圖連接至命令控制(C&C)服務(wù)器，并支持很多命令，其中一些被用于拒絕服務(wù)攻擊。

Blasco表示，AlienVault收集的其他惡意軟件樣本是一個(gè)重新啟用的IRC僵尸機(jī)器，看似是由羅馬尼亞語(yǔ)言的攻擊者控制的。該攻擊由PERL腳本啟動(dòng)，這個(gè)腳本會(huì)感染一臺(tái)有漏洞的機(jī)器，然后該機(jī)器被連接到443端口的IRC服務(wù)器(185.31.209.84)。在受害者連接后，攻擊者會(huì)執(zhí)行兩個(gè)命令—“uname-a”和“id”來(lái)查看用戶(hù)名和操作系統(tǒng)。

據(jù)Blasco表示，當(dāng)AlienVault蜜罐系統(tǒng)被感染時(shí)，共有715名用戶(hù)連接到IRC服務(wù)器，在該博客文章發(fā)布時(shí)又有20多名用戶(hù)落入了僵尸網(wǎng)絡(luò)。

Blasco通過(guò)電子郵件表示：“經(jīng)發(fā)現(xiàn)，僵尸機(jī)器的主要目的是執(zhí)行拒絕服務(wù)攻擊。”