“破壳”漏洞 系列分析之一

缺鼻子少眼

　   2014年9月24日Bash被公布存在远程代码执行漏洞，随后安天实验室安全研究与应急处理中心在第一时间根据信息研判，确认该漏洞可以产生严重的后果，且分布广泛，于北京时间9月24日早晨5时30分启动了A级风险应急响应。

　　安天CERT针对该漏洞进行了严格地分析验证，确认该漏洞会影响目前主流的Linux和Mac OSX操作系统平台，包括但不限于Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux、OS X 10.10等平台。该漏洞可以通过构造环境变量的值来执行想要执行的攻击代码脚本，会影响到与Bash交互的多种应用，包括HTTP、OpenSSH、DHCP等。根据目前的漏洞验证情况以及已经流传的POC情况，这个漏洞将严重影响网络基础设施的安全，包括但不限于网络设备、网络安全设备、云和大数据中心等。

　　根据信息检索，本漏洞发现者为法国GNU/LINUX研究者StéphaneChazelas，发现时间为2014年9月中旬，而披露时间为2014年9月24日。

　　特别是Bash广泛地分布和存在于设备中，其消除过程将非常长尾，且易于利用其编写蠕虫进行自动化传播，同时也将导致僵尸网络的发展，目前已有多个境外安全机构发出了警告。

　　安天CERT目前已验证在Red Hat、CentOS、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均拥有存在CVE-2014-6271漏洞的Bash版本，同时由于Bash在各主流操作系统的广泛应用，此漏洞的影响范围包括但不限于大多数应用Bash的Unix、Linux、Mac OS X，而针对这些操作系统管理下的数据均存在高危威胁。漏洞的利用方式会通过与Bash交互的多种应用展开，包括HTTP、OpenSSH、DHCP等。

　　安天CERT目前抽样验证当前出厂预装的Android操作系统暂不支持ENV命令，可推测针对Android操作系统受到此漏洞影响的可能性较小。

　　这是安天CERT今年内第二次做出A级响应，而此前一次是Heart Bleed(心脏出血)。当我们回望安天A级响应的档案，我们看到了很多熟悉的名字：口令蠕虫、震荡波、冲击波……

　　而在“心脏出血”出现之前的几年时间内，正是威胁高度定向化发展的时代，安天CERT的工作重心转向去分析更为精致、漫长的APT攻击，已经有多年未启动过A级响应。所以当“心脏出血”到来的时候，我们显得那样慌乱。我们已经不习惯被凌晨从睡梦中叫醒，我们突然发现基础环境需要重新搭建。当时我们的感觉是，如同一群在犯罪现场小心取证、捉摸研究的侦探，突然发现全城大火，任务迅速变成全体去参与救火……而对安全分析工程师来说，只要重入火线，就可以唤醒沉睡的敏锐和血性。