Shellshock被僵尸网络利用，漏洞发布再次导致灾难？

　　近日，Unix和Linux操作系统广泛使用的GNU Bourne Again Shell(Bash)发现了一个允许远程执行代码的严重安全漏洞。这一漏洞已被命名为Shellshock。

　　Shellshock被形容为历来发现的最严重和最普遍的网络安全漏洞之一，就连技术含量最高的政府和军方系统也因Shellshock的存在而变得脆弱。因此有专家指出，Shellshock的严重程度甚至远超今年4月导致网络安全专业人士恐慌的“心脏出血”(Heartbleed)漏洞。

　　据金融时报报道，美国国土安全部已经确认了该漏洞的存在，并向全美各地的公共和私人部门机构发出警告；英国情报机构政府通信总部(GCHQ)向英国机构发出警告，称这个漏洞影响国家关键基础设施。安全研究人员已经演示了DHCP bash shellshock概念验证攻击。

　　Shellshock漏洞的可怕之处主要有两点：一是无所不在，从web服务器到物联网设备；二是潜伏时间长达20年，损害和威胁评估极为困难。这两点都与心脏出血漏洞类似。

　　据Arstechinica报道，Blue Coat公司发现Shellshock漏洞发布后4.5小时内就已经有攻击者开始扫描利用Shellshock漏洞，而且已经有DDoS僵尸网络开始在攻击中利用Shellshock漏洞。但目前尚未有证据表明漏洞发布前前黑客知晓该漏洞，这一点也与心脏出血漏洞类似。

　　这意味着Shellshock漏洞的发布很可能重演心脏出血漏洞的悲剧，漏洞发布导致大量攻击事件的发生，这为整个安全界提出一个新问题，如何在大多数用户无法及时修补的情况下，协调优化整个安全业界的漏洞发布机制，将漏洞发布与安全补丁之间的危险窗口期尽量缩短，将附带损害降至最低。