黑客试图通过Shellshock漏洞攻击电脑的次数正在上升,但企业有防御攻击的选择。
shellshock是给予的名字套至少六种漏洞在GNU Bash中,在Linux, Unix和Mac OS x中发现的默认命令shellcve - 2014 - 6271,CVE-2014-7169,cve - 2014 - 7186,cve - 2014 - 7187,cve - 2014 - 6277和cve - 2014 - 6278.
安全厂商Cloudflare周一报道据统计,每天在其网络上针对Shellshock漏洞的分布式拒绝服务攻击超过150万次。
Web应用程序防火墙供应商Incapsula周一报道自9月25日Shellshock公开以来的四天时间里,它已经阻止了超过4115个域名的21.7万次攻击尝试。Incapsula网站记录了来自全球890多个IP地址的攻击。
那么,公司应该做些什么来抵御攻击者呢?提供数据、网络和网络安全培训的SANS研究所的专家们提出了以下建议:
-使用多个脚本.SAN的高级教练保罗亨利发现,他需要多个脚本,以测试六十多个缺陷。他发现供应商发布其产品的剧本还不够。
“剧本不够紧凑。你错过了机器,”亨利说。“人们在扫描时需要非常仔细和彻底。认为通过。”
幸运的是,漏洞扫描工具包括用于测试Bash漏洞的各种味道的脚本,因此公司应该确保在测试前进行所有可用的脚本。
-测试使用DHCP.利用缺陷的一种方法是通过携带利用字符串的动态主机配置协议(DHCP)消息。
SANS互联网风暴中心主任约翰内斯·乌尔里希说:“实际上,你可以通过从DHCP服务器发送一个攻击字符串(比如ping)来利用自己的系统。”“如果你的网络中有一个系统存在漏洞,它就会ping通你设置的DHCP服务器。”
-应用供应商提供的规则.防火墙和入侵检测和预防系统需要使用最新规则进行更新,以阻止攻击BASH缺陷的攻击。Cisco所有的SourceFire,瞻博网络,IBM和F5网络是发布更新的供应商之一。
使用流行开源软件的公司兄弟或者Snort入侵防御系统(IPS)应安装从各个社区站点提供的最新规则集。
Ullrich称:"从某种意义上说,市场规则相当不错,他们不太可能错过大量的开发尝试。"“唯一的问题是假阳性。”
-安装最新补丁.供应商发送的许多补丁是功能性的,但不完整。尽管如此,公司还是被建议采用现有的方法。打一次补丁,然后忘记问题并不能解决这个bug。相反,系统管理员需要掌握供应商提供的补丁,以更新已经存在的补丁。
由于Linux有许多变体,SANS建议在与目标计算机配置相同的测试系统上重新编译补丁源代码,以避免在目标计算机上运行的软件出现问题。
“如果你误用了错误的补丁(操作系统)内核,你可以打破一些东西,”亨利说。“我的个人偏好是在我将尝试修补Bash的机器上编译。”
-监控系统日志.公司需要加紧监控服务器日志,以捕获指向剥削尝试或成功的异常。特别是,公司应该监控出站引线和出境互联网中继聊天(IRC)和HTTP连接。
乌尔里希说:“目前这些都是大公司。
Henry说,公司应该对来自内部服务器的出站流量“非常谨慎”。“通常情况下,服务器会响应一个查询,但服务器不应该自己发起一个到互联网的新连接。”
-检查神往的设备.使用物联网设备(包括dvr、VoIP电话和调制解调器、路由器和摄像机等现成硬件)的公司应该询问各自的供应商,他们的产品是否容易受到攻击。不能得到修补的受影响的硬件应该被替换。
幸运的是,很少有物联网设备使用Bash。大多数运行一组称为BusyBox的工具。
乌尔里希表示:“存在大量易受攻击的设备,但只有少数暴露在外并可供利用。”
这篇题为《六种对抗Shellshock攻击的关键防御方法》的文章最初发表于CSO .
