加速乐：第一时间破壳漏洞纪实 上演拦截戏码

　　2014年9月24日，bash被曝光存在任意命令执行漏洞，漏洞编号为cve-2014-6271，影响范围非常大：bash <= 4.3。破壳漏洞(shellshock)的严重性被定义为10 级(最高)，今年4 月爆发的openssl“心脏出血”漏洞才5 级!gnu bash shell作为一种被广泛应用在linux和unix家族中的命令行解析器，使该漏洞会影响大量基于linux/unix的设备，可能受影响的有：

　　此漏洞可以绕过forcecommand在sshd中的配置，从而执行任意命令;

　　如果cgi脚本用bash或subshell编写，则使用mod_cgi或mod_cgid的

　　apache服务器会受到影响;

　　dhcp客户端调用shell脚本来配置系统，可能存在允许任意命令执行，尤其

　　作为根命令的形式，在dhcp客户端的机器上运行;

　　各种daemon和suid/privileged的程序都可能执行shell脚本，通过用户

　　设置或影响环境变数值，允许任意命令运行。

　　破壳漏洞不仅是一个危害极大的漏洞，并且破壳漏洞的探测方式很复杂，不同的组件测试方式有所区别，很难评估一个影响面，但是可以肯定的是bash<=4.3 版本都受影响，而bash 在至少百亿级别数量的设备上使用，因为bash 是最流行的linux shell。安全状况令人堪忧，加速乐的安全团队第一时间通过几种方式的组合检测，得到了些影响结论：

　　一.某知名交付管理系统在全中国氛围内有13254 台设备受到破壳漏洞影响，可被直接远程攻击;

　　二.全球大概存在142000 主机受影响，需要注意的是由于fuzzing 规则不完备，得到的数量肯定会不完备，但这个数字至少可以看到可被直接远程攻击利用的面非常之大;

　　三.对主机的80 端口进行直接请求，发现至少150 万网站、网关、邮件系统、安全设备受到影响。

　　加速乐团队连夜奋战，截止2014/9/26中午，已拦截了1759 次破壳漏洞攻击!

　　从图中可见，加速乐团队在漏洞爆发之前就已经添加规则。25日的拦截情况如下：

　　总共拦截数：1,759 次

　　受攻击站点数：214 个

　　攻击成功站点数：0 个

　　发起攻击ip 数：6 个

　　通过加速乐的连夜分析，还发现破壳漏洞的蠕虫(代码：)已经开始全球蔓延，应该是利用masscan 来进行大规模植入的。并且dhcp 服务受影响，这意味着这个破壳漏洞绝不仅linux 服务器的事!

　　加速乐表述，现在暂时还没有最靠谱的通用修复方案，请站长们关注bash 的下一次升级。