觀點

您的網站抵擋得住Shellshock病毒風暴嗎?

2014 / 11 / 04
莊龍源
您的網站抵擋得住Shellshock病毒風暴嗎?

    幾個月前,另一起惡意攻擊事件Shellshock 造成令人為之惶恐的風暴。 ShellShock (即Bash 漏洞) 據統計其威脅全球將近五億連網裝置, 對於企業和終端使用者必須全面嚴加注意這個被專家稱為網際網路最惡意病毒的安全漏洞。

    試想如果他人有能力從遠端完全接掌系統,並且惡用其內的所有資訊。一旦有了這樣的完全控制能力,攻擊者非僅可以關閉系統,而且也能恣意而為,對系統內的資訊、資料和應用程式做任何處置。以銀行或金融機構的系統為例,這些行為非僅將造成金融機構嚴重的財務損失,並且還會波及他們的客戶,攻擊者可以控制使用者的裝置以竊取個人資料,甚至在使用者不知情的情形下進行交易。

 上述情景或許此刻並沒有在您的周遭發生,但由於Shellshock的關係,使其成為一項高潛在性的安全威脅;目前,美國銀行管理機構建議美國境內的銀行為他們所使用的軟體進行升級和改善,以便將Shellshock的危害降至最低。然而,這只是冰山一角,因為Shellshock不但威脅金融業,而且也涵蓋所有與網際網路相連的系統。它究竟為何如此危險?

 Shellshock是一項新的安全漏洞,出現在世界上幾乎每一台以Linux為基礎的電腦和裝置;這意謂著任何執行Linux、Android或Mac OS X的裝置都受到威脅。這項漏洞也會對其他平台造成間接影響,例如Windows,因為你可以使用多種方式在Windows之上執行Bash shell。再者,如果提供網站服務的伺服器已遭感染,那麼任何參訪該伺服器網站的使用者都可能受到影響。

 Shellshock被形容為十年來最惡意的病毒,因為它讓數百萬系統暴露於安全威脅,包括政府、軍事單位、企業乃至於終端使用者的伺服器、電腦和智慧型裝置。甚至,美國國家安全漏洞資料庫將其嚴重度評定為10 (最嚴重)。相較於Heartbleed - 這個漏洞的駭客只窺視系統但並不會進行控制,Shellshock病毒的嚴重性在於它讓攻擊者有能力完全掌控系統。

 這項安全漏洞之所以非常嚴重的原因,是因為攻擊者相當容易利用它侵入系統;他們只需要將三行簡單的程式碼植入目標系統就能掌握系統卻取機密資訊。最令人擔憂的是,該漏洞已存在超過20年,因此數百萬的裝置、電腦和伺服器都有潛在風險。

 許多作業系統廠商正針對這個病毒開發更新程式。系統補丁將競相推出,不過我們(包括惡意人士)都知道那些補丁的取得、驗證和部署都需要花時間。我們非做不可的是,尋求方法緊急阻絕那些攻擊,而這意謂著我們需要訴諸快速的方案。雖然終端使用者需要耐心等待新安全補丁推出,但對於企業而言好消息是現在有一些方法可以舒緩透過Web發起的攻擊。

Web應用防火牆(Web Application Firewalls; WAF)
WAF是針對HTTP/HTTPS Protocol 及Web應用而生的安全設備,以TCP及HTTP Proxy為技術基礎,提供特定應用系統XML過濾與驗證功能,能夠確保網站應用程式輸入的XML文件格式正確,進行應用程式安全保護,可以偵測HTTP、FTP、SMTP的流量,防止包括Command injection (最為常見之Shellshock 手法)、encoding攻擊。該功能還提供了欄位(schema)認證、一般攻擊緩解,以及XML parser阻斷服務攻擊防護。將有助於舒緩透過Web應用程式發動的此一攻擊向量。支援客戶病毒碼(signatures)的WAF例如BIG-IP ASM,可用於立即阻絕這些攻擊。

最新特徵碼服務查詢更新並自動下載功能
WAF已能辨識一些試圖迴避偵測的作為,例如編碼和逃逸字元(escaping character),這些迴避行為將隨著企業採取攻擊阻斷措施而更加頻繁出現。企業要檢視內部的WAF功能是否能夠限制每個通訊階段、每位使用者與每一秒的頁面查詢數量,還能夠追蹤使用者的IP位址、cookie、jsession ID或其他獨特的識別資料,能夠積極管理日趨動態化變動的攻擊環境。

資訊遮罩(masking)限定網站後端敏感性資料被竊
為避免讓駭客入侵與竊取;WAF的資訊遮罩功能甚而能夠隱藏網站錯誤訊息與應用程式錯誤資訊,以防駭客發現網站底層架構漏洞進而發動攻擊。應用安全管理ASM可針對每一則網頁存取請求進行個別偵測與防禦,隨時啟動存取防禦攻擊機制。

<本文作者目前任職於 F5大中華區資深技術顧問>