杭州品牌網(wǎng)站建設(shè)公司蒙特人發(fā)布——黑客正在利用最新的“Shellshock”電腦漏洞進行攻擊
研究人員周四發(fā)布警告稱����,黑客已經(jīng)開始利用最新的“Shellshock”電腦漏洞�����,借助蠕蟲病毒掃描有漏洞的系統(tǒng)�����,然后感染這些系統(tǒng)�。
影響范圍
Shellshock是繼今年四月的“心臟流血”漏洞之后����,業(yè)界發(fā)現(xiàn)的首個重大互聯(lián)網(wǎng)威脅。由于后者所影響的OpenSSL加密軟件被用在全球大約三分之二的網(wǎng)絡(luò)服務(wù)器中���,因此影響范圍十分廣泛��。
最新的這項漏洞的威脅程度之所以堪比“心臟流血”�,一定程度上是因為Shellshock所影響的Bash軟件���,同樣被廣泛應用與各類網(wǎng)絡(luò)服務(wù)器以及其他電腦設(shè)備��。
但安全專家表示���,由于并非所有運行Bash的電腦都存在漏洞�����,所以受影響的系統(tǒng)數(shù)量或許不及“心臟流血”�����。不過��,Shellshock本身的破壞力卻更大�����,因為黑客可以借此完全控制被感染的機器�����,不僅能破壞數(shù)據(jù)����,甚至會關(guān)閉網(wǎng)絡(luò),或?qū)W(wǎng)站發(fā)起攻擊�。
與之相比,“心臟流血”漏洞只會導致數(shù)據(jù)泄漏���。
科技行業(yè)正在加緊確定哪些系統(tǒng)可能會被黑客遠程利用����,但目前還無法估算受影響的系統(tǒng)數(shù)量��?!拔覀兤鋵嵅⒉恢纻鞑シ秶卸鄰V����,這可能是近年來最難評估的漏洞之一?���!敝ヂ?lián)網(wǎng)安全專家丹·卡明斯基(Dan Kaminsky)說。
專家表示�,要成功發(fā)起攻擊,目標系統(tǒng)必須接入互聯(lián)網(wǎng)�����,而且要在Bash之外運行第二組有漏洞的代碼���。
“有關(guān)哪些系統(tǒng)會受影響出現(xiàn)了很多猜測�����,但我們還不知道答案?����!本W(wǎng)絡(luò)安全公司BeyondTrust CTO馬克·麥福利特(Marc Maiffret)說��,“這有可能會在未來幾周或幾個月逐漸明確�����。”
目標設(shè)備
保險公司AEGIS的網(wǎng)絡(luò)安全專家喬·漢考克(Joe Hancock)表示,他擔心家用寬帶路由器,以及用于管理關(guān)鍵基礎(chǔ)設(shè)施的控制器���,都有可能遭到攻擊�。
“在某些領(lǐng)域��,問題可能很難修復����,因為很多嵌入式設(shè)備無法進行定期升級�,甚至根本打不了補丁�����。”漢考克說���。
安全軟件開發(fā)商Rapid7首席研究官摩爾(HD Moore)表示,大概需要花費數(shù)周甚至數(shù)月才能判斷漏洞的具體影響��。
“我們目前還不知道自己究竟有什么尚不了解的事情,但我們希望,隨著廠商和研究人員開始評估其產(chǎn)品和服務(wù)的流程�����,可以挖掘出更多漏洞信息。”摩爾在電子郵件中說��,“今后幾年可能會不斷看到該漏洞所引發(fā)的問題��?�!?/font>
Linux開發(fā)商已于周三針對該漏洞發(fā)布了補丁,但安全研究人員卻在這些補丁中發(fā)現(xiàn)了瑕疵��。例如,有專家稱,全球第一大Linux廠商紅帽發(fā)布的補丁“不完善”����。
“問題在于,現(xiàn)在已經(jīng)過去24小時了����,但我們還在原地踏步?!本W(wǎng)絡(luò)安全公司Rook Security首席安全顧問麥特·岡沃(Mat Gangwer)說,“人們似乎很驚恐�。他們理應驚恐”
蠕蟲攻擊
俄羅斯安全軟件開發(fā)商卡巴斯基報告稱,一種電腦蠕蟲已經(jīng)開始感染存在Shellshock漏洞的電腦���。
卡巴斯基研究員大衛(wèi)·雅各比(David Jacoby)表示����,惡意軟件可以控制被感染的設(shè)備�,發(fā)起DoS(拒絕服務(wù))攻擊,從而導致網(wǎng)站癱瘓��。除此之外����,還可以掃描路由器等其他存在漏洞的設(shè)備。但雅各比并不清楚攻擊發(fā)起人的身份���,也無法確定具體的受害者�。
網(wǎng)絡(luò)安全公司AlienVault實驗室主任杰米·布拉斯考(Jaime Blasco)表示��,他也發(fā)現(xiàn)了相同的惡意軟件�����,以及另外一個利用Shellshock漏洞發(fā)起DoS攻擊的蠕蟲�。
“心臟流血”是開源加密軟件OpenSSL的一個漏洞,由于全球有三分之二的網(wǎng)站使用OpenSSL�����,所以可能導致數(shù)百萬用戶的數(shù)據(jù)面臨風險�����。已經(jīng)有數(shù)十家科技公司針對成百上千款使用OpenSSL的產(chǎn)品發(fā)布了安全補丁。
杭州品牌網(wǎng)站建設(shè)公司蒙特人發(fā)布——黑客正在利用最新的“Shellshock”電腦漏洞進行攻擊�,旨在提示大家注意防范、提高安全意識!
杭州品牌網(wǎng)站建設(shè)公司蒙特人發(fā)布——黑客正在利用最新的“Shellshock”電腦漏洞進行攻擊
研究人員周四發(fā)布警告稱�����,黑客已經(jīng)開始利用最新的“Shellshock”電腦漏洞�����,借助蠕蟲病毒掃描有漏洞的系統(tǒng)�����,然后感染這些系統(tǒng)����。
影響范圍
Shellshock是繼今年四月的“心臟流血”漏洞之后,業(yè)界發(fā)現(xiàn)的首個重大互聯(lián)網(wǎng)威脅�����。由于后者所影響的OpenSSL加密軟件被用在全球大約三分之二的網(wǎng)絡(luò)服務(wù)器中�,因此影響范圍十分廣泛�。
最新的這項漏洞的威脅程度之所以堪比“心臟流血”����,一定程度上是因為Shellshock所影響的Bash軟件�,同樣被廣泛應用與各類網(wǎng)絡(luò)服務(wù)器以及其他電腦設(shè)備。
但安全專家表示�,由于并非所有運行Bash的電腦都存在漏洞,所以受影響的系統(tǒng)數(shù)量或許不及“心臟流血”�����。不過����,Shellshock本身的破壞力卻更大,因為黑客可以借此完全控制被感染的機器���,不僅能破壞數(shù)據(jù)����,甚至會關(guān)閉網(wǎng)絡(luò)���,或?qū)W(wǎng)站發(fā)起攻擊�����。
與之相比�����,“心臟流血”漏洞只會導致數(shù)據(jù)泄漏��。
科技行業(yè)正在加緊確定哪些系統(tǒng)可能會被黑客遠程利用����,但目前還無法估算受影響的系統(tǒng)數(shù)量?����!拔覀兤鋵嵅⒉恢纻鞑シ秶卸鄰V��,這可能是近年來最難評估的漏洞之一�����?!敝ヂ?lián)網(wǎng)安全專家丹·卡明斯基(Dan Kaminsky)說。
專家表示�����,要成功發(fā)起攻擊,目標系統(tǒng)必須接入互聯(lián)網(wǎng)���,而且要在Bash之外運行第二組有漏洞的代碼��。
“有關(guān)哪些系統(tǒng)會受影響出現(xiàn)了很多猜測,但我們還不知道答案���?!本W(wǎng)絡(luò)安全公司BeyondTrust CTO馬克·麥福利特(Marc Maiffret)說�,“這有可能會在未來幾周或幾個月逐漸明確?��!?/font>
目標設(shè)備
保險公司AEGIS的網(wǎng)絡(luò)安全專家喬·漢考克(Joe Hancock)表示�,他擔心家用寬帶路由器�����,以及用于管理關(guān)鍵基礎(chǔ)設(shè)施的控制器�,都有可能遭到攻擊。
“在某些領(lǐng)域�����,問題可能很難修復,因為很多嵌入式設(shè)備無法進行定期升級��,甚至根本打不了補丁����。”漢考克說�����。
安全軟件開發(fā)商Rapid7首席研究官摩爾(HD Moore)表示���,大概需要花費數(shù)周甚至數(shù)月才能判斷漏洞的具體影響�����。
“我們目前還不知道自己究竟有什么尚不了解的事情�,但我們希望�,隨著廠商和研究人員開始評估其產(chǎn)品和服務(wù)的流程,可以挖掘出更多漏洞信息��?�!蹦栐陔娮余]件中說,“今后幾年可能會不斷看到該漏洞所引發(fā)的問題��?��!?/font>
Linux開發(fā)商已于周三針對該漏洞發(fā)布了補丁���,但安全研究人員卻在這些補丁中發(fā)現(xiàn)了瑕疵。例如����,有專家稱�����,全球第一大Linux廠商紅帽發(fā)布的補丁“不完善”�。
“問題在于,現(xiàn)在已經(jīng)過去24小時了�,但我們還在原地踏步?�!本W(wǎng)絡(luò)安全公司Rook Security首席安全顧問麥特·岡沃(Mat Gangwer)說��,“人們似乎很驚恐����。他們理應驚恐”
蠕蟲攻擊
俄羅斯安全軟件開發(fā)商卡巴斯基報告稱�,一種電腦蠕蟲已經(jīng)開始感染存在Shellshock漏洞的電腦�。
卡巴斯基研究員大衛(wèi)·雅各比(David Jacoby)表示,惡意軟件可以控制被感染的設(shè)備����,發(fā)起DoS(拒絕服務(wù))攻擊,從而導致網(wǎng)站癱瘓�。除此之外,還可以掃描路由器等其他存在漏洞的設(shè)備���。但雅各比并不清楚攻擊發(fā)起人的身份�,也無法確定具體的受害者����。
網(wǎng)絡(luò)安全公司AlienVault實驗室主任杰米·布拉斯考(Jaime Blasco)表示,他也發(fā)現(xiàn)了相同的惡意軟件�,以及另外一個利用Shellshock漏洞發(fā)起DoS攻擊的蠕蟲。
“心臟流血”是開源加密軟件OpenSSL的一個漏洞��,由于全球有三分之二的網(wǎng)站使用OpenSSL����,所以可能導致數(shù)百萬用戶的數(shù)據(jù)面臨風險���。已經(jīng)有數(shù)十家科技公司針對成百上千款使用OpenSSL的產(chǎn)品發(fā)布了安全補丁。
杭州品牌網(wǎng)站建設(shè)公司蒙特人發(fā)布——黑客正在利用最新的“Shellshock”電腦漏洞進行攻擊�,旨在提示大家注意防范、提高安全意識!
