3. Shellshock è un bug di GNU Bash
Shellshock allows anyone (or anything) that has shell access to execute arbitrary code.
Scoperto il: 12 Settembre 2014
Credit: Stéphane Chazelas
Divulgato il: 24 Settembre 2014
Vulnerabile: 1.14 ≤ GNU Bash ≤ 4.3
8. CVE-2014-6271
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
https://shellshocker.net/
Variabile d'ambiente Codice arbitrario
9. Test script & PoC
https://github.com/hannob/bashcheck
https://github.com/wreiske/shellshocker/
https://github.com/mubix/shellshocker-pocs
10. Robert Graham
Ricercatore di sicurezza per Errata Security
ha realizzato e successivamente divulgato a
scopo di test uno script per individuare server
web vulnerabili a Shellshock.
Quel che è successo immediatamente dopo
era inevitabile...
http://blog.erratasec.com/2014/09/bash-shellshock-bug-is-wormable.html
11. Thanks-Rob
24 settembre 2014 - Dodici giorni dopo la divulgazione di shellshock
https://gist.github.com/anonymous/929d622f3b36b00c0be1
https://www.virustotal.com/en/file/c421911baf180806031d392a1ff223c00a5a190191bd1cc2d0bc580aca140c21/analysis/1413712797/