研究人員發(fā)布警告稱，黑客已經(jīng)開始利用最新的“Shellshock”電腦漏洞，借助蠕蟲病毒掃描有漏洞的系統(tǒng)，然后感染這些系統(tǒng)。

　　影響范圍

　　Shellshock是繼今年四月的“心臟流血”漏洞之后，業(yè)界發(fā)現(xiàn)的首個(gè)重大互聯(lián)網(wǎng)威脅。由于后者所影響的OpenSSL加密軟件被用在全球大約三分之二的網(wǎng)絡(luò)服務(wù)器中，因此影響范圍十分廣泛。

　　最新的這項(xiàng)漏洞的威脅程度之所以堪比“心臟流血”，一定程度上是因?yàn)镾hellshock所影響的Bash軟件，同樣被廣泛應(yīng)用與各類網(wǎng)絡(luò)服務(wù)器以及其他電腦設(shè)備。

　　但安全專家表示，由于并非所有運(yùn)行Bash的電腦都存在漏洞，所以受影響的系統(tǒng)數(shù)量或許不及“心臟流血”。不過，Shellshock本身的破壞力卻更大，因?yàn)楹诳涂梢越璐送耆�控制被感染的機(jī)器，不僅能破壞數(shù)據(jù)，甚至?xí)�關(guān)閉網(wǎng)絡(luò)，或?qū)�網(wǎng)站發(fā)起攻擊。

　　與之相比，“心臟流血”漏洞只會(huì)導(dǎo)致數(shù)據(jù)泄漏。

　　科技行業(yè)正在加緊確定哪些系統(tǒng)可能會(huì)被黑客遠(yuǎn)程利用，但目前還無法估算受影響的系統(tǒng)數(shù)量。“我們其實(shí)并不知道傳播范圍有多廣，這可能是近年來最難評(píng)估的漏洞之一。”知名互聯(lián)網(wǎng)安全專家丹·卡明斯基(Dan Kaminsky)說。

　　專家表示，要成功發(fā)起攻擊，目標(biāo)系統(tǒng)必須接入互聯(lián)網(wǎng)，而且要在Bash之外運(yùn)行第二組有漏洞的代碼。

　　“有關(guān)哪些系統(tǒng)會(huì)受影響出現(xiàn)了很多猜測(cè)，但我們還不知道答案。”網(wǎng)絡(luò)安全公司BeyondTrust CTO馬克·麥福利特(Marc Maiffret)說，“這有可能會(huì)在未來幾周或幾個(gè)月逐漸明確。”

　　目標(biāo)設(shè)備

　　保險(xiǎn)公司AEGIS的網(wǎng)絡(luò)安全專家喬·漢考克(Joe Hancock)表示，他擔(dān)心家用寬帶路由器，以及用于管理關(guān)鍵基礎(chǔ)設(shè)施的控制器，都有可能遭到攻擊。

　　“在某些領(lǐng)域，問題可能很難修復(fù)，因?yàn)楹芏嗲度胧皆O(shè)備無法進(jìn)行定期升級(jí)，甚至根本打不了補(bǔ)丁。”漢考克說。

　　安全軟件開發(fā)商Rapid7首席研究官摩爾(HD Moore)表示，大概需要花費(fèi)數(shù)周甚至數(shù)月才能判斷漏洞的具體影響。

　　“我們目前還不知道自己究竟有什么尚不了解的事情，但我們希望，隨著廠商和研究人員開始評(píng)估其產(chǎn)品和服務(wù)的流程，可以挖掘出更多漏洞信息。”摩爾在電子郵件中說，“今后幾年可能會(huì)不斷看到該漏洞所引發(fā)的問題。”

　　Linux開發(fā)商已于周三針對(duì)該漏洞發(fā)布了補(bǔ)丁，但安全研究人員卻在這些補(bǔ)丁中發(fā)現(xiàn)了瑕疵。例如，有專家稱，全球第一大Linux廠商紅帽發(fā)布的補(bǔ)丁“不完善”。

　　“問題在于，現(xiàn)在已經(jīng)過去24小時(shí)了，但我們還在原地踏步。”網(wǎng)絡(luò)安全公司Rook Security首席安全顧問麥特·岡沃(Mat Gangwer)說，“人們似乎很驚恐。他們理應(yīng)驚恐”

　　蠕蟲攻擊

　　俄羅斯安全軟件開發(fā)商卡巴斯基報(bào)告稱，一種電腦蠕蟲已經(jīng)開始感染存在Shellshock漏洞的電腦。

　　卡巴斯基研究員大衛(wèi)·雅各比(David Jacoby)表示，惡意軟件可以控制被感染的設(shè)備，發(fā)起DoS(拒絕服務(wù))攻擊，從而導(dǎo)致網(wǎng)站癱瘓。除此之外，還可以掃描路由器等其他存在漏洞的設(shè)備。但雅各比并不清楚攻擊發(fā)起人的身份，也無法確定具體的受害者。

　　網(wǎng)絡(luò)安全公司AlienVault實(shí)驗(yàn)室主任杰米·布拉斯考(Jaime Blasco)表示，他也發(fā)現(xiàn)了相同的惡意軟件，以及另外一個(gè)利用Shellshock漏洞發(fā)起DoS攻擊的蠕蟲。

　　“心臟流血”是開源加密軟件OpenSSL的一個(gè)漏洞，由于全球有三分之二的網(wǎng)站使用OpenSSL，所以可能導(dǎo)致數(shù)百萬用戶的數(shù)據(jù)面臨風(fēng)險(xiǎn)。已經(jīng)有數(shù)十家科技公司針對(duì)成百上千款使用OpenSSL的產(chǎn)品發(fā)布了安全補(bǔ)丁。 

核心關(guān)注：拓步ERP系統(tǒng)平臺(tái)是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊(yùn)涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請(qǐng)注明出處：拓步ERP資訊網(wǎng)http://www.guhuozai8.cn/

本文標(biāo)題：拓步ERP資訊：軟件漏洞Shellshock震撼全球

本文網(wǎng)址：http://www.guhuozai8.cn/html/news/10515116500.html