黑客试图通过Shellshock漏洞入侵计算机的次数正在增加,但公司有多种选择来抵御攻击者。
Shellshock是a的名字一组至少六个漏洞在GNU Bash中,在Linux、Unix和Mac OS x中可以找到的默认命令shellcve - 2014 - 6271,cve - 2014 - 7169,cve - 2014 - 7186,cve - 2014 - 7187,cve - 2014 - 6277和cve - 2014 - 6278。
安全厂商Cloudflare周一报道每天有超过150万次针对Shellshock漏洞的分布式拒绝服务攻击。
Web应用程序防火墙供应商Incapsula周一报道自Shellshock于9月25日公布以来的四天里,它已经阻止了4115个域名上超过21.7万的攻击企图。Incapsula网站已经记录了来自全球超过890个IP地址的攻击。
那么,公司应该做些什么来抵御攻击者呢?来自提供数据、网络和网络安全培训的SANS学院的专家提出了以下建议:
--使用多个脚本。san的高级讲师Paul Henry发现,他需要多个脚本来测试这六个缺陷。他发现供应商为他们的产品发布的脚本是不够的。
“他们(剧本)就是不够紧凑。你是在丢失机器,”亨利说。“人们在扫描时需要非常仔细和彻底。认为通过。”
幸运的是,漏洞扫描工具包括用于测试各种类型Bash漏洞的脚本,因此公司应该确保在测试之前拥有所有可用的脚本。
--测试使用DHCP。利用漏洞的一种方法是通过动态主机配置协议(DHCP)消息携带一个利用字符串。
SANS Internet Storm中心主任Johannes Ullrich说:“你基本上可以通过从DHCP服务器发送一个攻击字符串来利用你自己的系统,比如ping。”“如果你的网络中的一个系统是脆弱的,它会ping你已经设置的DHCP服务器。”
--应用供应商提供的规则。防火墙和入侵检测和预防系统需要更新最新规则,以阻止针对Bash漏洞的攻击。思科旗下的Sourcefire、Juniper Networks、IBM和F5 Networks都发布了更新。
使用流行的开源软件的公司兄弟或Snort入侵预防系统(IPS)应该安装来自各自社区站点的最新规则集。
Ullrich称:"从他们不太可能错过大量利用企图的角度来看,这里的规则相当好。"“唯一的问题将是假阳性。”
--安装最新的修补程式。供应商发送的许多补丁是有用的,但不完整。尽管如此,公司还是被建议使用现有的资源。只打一次补丁就忘记这个问题并不能解决这个问题。相反,系统管理员将需要依赖于供应商提供的补丁来更新已经存在的补丁。
由于Linux有许多变种,san建议在与目标计算机配置相同的测试系统上重新编译补丁源代码,以避免在后面的计算机上运行的软件出现问题。
“如果你在错误的(操作系统)内核上错误地应用补丁,你可能会破坏一些东西,”Henry说。“我个人的偏好是在我打算修补Bash的机器上编译。”
--监控系统日志。公司需要加强对服务器日志的监控,以捕获指向利用企图或成功的异常情况。特别是,公司应该监视出站ping和出站Internet中继聊天(IRC)和HTTP连接。
Ullrich说:“现在这些都是大问题。”
亨利说,公司应该“非常谨慎”对待来自内部服务器的对外流量。“通常,服务器会对查询作出响应,但服务器不应该自己启动到互联网的新连接。”
--检查神往的设备。使用物联网(IoTs)设备的公司,包括dvr、VoIP电话和消费者现成的(COT)硬件,如调制解调器、路由器和摄像机,应该询问各自的供应商,他们的产品是否容易受到攻击。应该替换那些没有打补丁的受影响的硬件。
幸运的是,很少有IoTs设备使用Bash。大多数运行的是一组名为BusyBox的工具。
乌尔里希说:“有大量易受攻击的设备,但只有少数被暴露出来并可利用。”
这篇文章,“对抗弹震攻击的六个关键防御”最初是由方案 。
