[更新] 資安漏洞Shellshock,全球51%網站、5億連網裝置有危險

2014.09.29 by
郭芝榕
趨勢科技針對Unix系統漏洞「Shellshock」指出,Shellshock影響範圍比Heartbleed更廣,波及全球51%網站、5億連...

趨勢科技針對Unix系統漏洞「Shellshock」指出,Shellshock影響範圍比Heartbleed更廣,波及全球51%網站、5億連網裝置,包括手機、路由器、醫療裝置等等,惡意駭客會直接取得電腦的操控權。此外,也不像Heartbleed漏洞,使用者可以直接更換密碼來因應,Shellshock漏洞只能等軟體廠商修補程式再下載更新。趨勢科技29日緊急推出Shellshock漏洞免費測試Shellshock免費偵測器以及伺服器掃描免費工具BashLite Malware Scanner,讓使用者可檢查系統上是否含有BashLite惡意程式。

趨勢科技指出,只要以Unix為基礎的系統,包括Linux、BSD 和 Mac OS X,只要使用「Bash」的指令列介面程式,都會有風險。等於全球大約51%的網站都有危險,由於影響廣泛,駭客針對漏洞發動攻擊,蔓延速度將非常驚人。與4月的Heartbleed(心淌血)漏洞相較,Shellshock的影響範圍更大。

enter image description here
(圖說:Shellshock漏洞比Heartbleed還嚴重,全球5億台網站伺服器連網裝置有危險。圖片來源:圖庫)

賽門鐵克也表示,若是不法人士寫出破壞系統的程式,自動上網掃描並且感染其他電腦,此舉將造成電腦所有資料被刪除,甚至關閉網站,將是最糟的情況。

趨勢科技部落格指出,一半以上的伺服器以及Android 手機和物聯網(IoT)裝置都是以Linux系統為基礎,影響範圍十分廣泛。此外,Bitcoin核心是利用Bash來控制,所以這個漏洞也會讓比特幣開採者和相關系統成為歹徒的攻擊目標。

某些Linux發行版本已釋出修補程式,暫時解決漏洞的部分問題,趨勢科技建議大家盡快部署修補程式,並且隨時注意開發/研究人員何時釋出另一波完整的修補程式。至於Android手機和其他裝置,則要看生產的廠商是否釋出修補程式。

你可以這樣做:
一般使用者:留意廠商的修補程式通知並立即更新。
IT系統管理員:有Linux系統的話,立即升级Bash至最新版本。
網站管理員:若在程序檔中使用Bash,請盡快進行修補或者改用其他類似Bash的工具重新撰寫程序檔。
代管服務的客戶:詢問廠商打算如何解決並修補這項問題。

每日精選科技圈重要消息