Apple ha fatto sapere che i Mac sono immuni al bug Shellshock (Bash Bug in Linux è peggio di Hearthbleed, allarme generale), o almeno la "vasta maggioranza". A essere effettivamente esposti sarebbero solo alcuni utenti avanzati, cioè quelli che hanno attivato manualmente i relativi servizi UNIX.
In altre parole chi usa OS X con le impostazioni di default può stare tranquillo perché la funzione vulnerabile non è attiva, mentre tutti gli altri non possono far altro che stare attenti e attendere la patch correttiva da parte di Apple - l'azienda dice che arriverà in tempi molto brevi. Per verificare se il proprio Mac è vulnerabile basta inserire nel Terminale questo comando: env X="() { :;} ; echo vulnerable" /bin/sh -c "echo stuff". Se restituisce "vulnerable" allora il pericolo esiste.
Comunque sia è una magra consolazione considerata la portata di questa minaccia, e infatti nelle ultime ore gli attacchi che sfruttano ShellShock si sono moltiplicati molto rapidamente. "L'attacco è abbastanza semplice anche per un hacker inesperto", riporta Andy Greenberg su Wired citando Chris Wysopal di Veracode. Basterebbero kit di attacco anche datati, infatti, per penetrare in un server web affetto da Shellshock.
Secondo Wysopal ci sono già diversi attacchi che sfruttano ShellShock per installare su server vulnerabili programmi come questo: dopodiché il server sarà sotto il controllo del pirata. Qualcun altro invece ha semplicemente modificato lo script dimostrativo di Robert Graham, usandolo per installare malware e creare backdoor sui computer raggiunti.
Un attacco, quest'ultimo, che ha preso il nome di "Thanks Rob" e che si sta già rivelando pericoloso: secondo Kaspersky c'è già una botnet che lancia attacchi DDoS contro almeno tre bersagli sconosciuti - o se non altro la società russa non ha voluto renderli pubblici. Secondo Graham questa botnet raccoglie già "migliaia di macchine"; poche considerando che quelle vulnerabili a ShellShock sono milioni. "Non è semplicemente un trojan DDoS", ha affermato Roel Schouwenberg di Kaspersky, "È una backdoor e si può sicuramente trasformare in worm".
Secondo Schouwenberg l'unica cosa che potrebbe arginare l'attacco è proprio il fatto che i pirati, forse, non vogliono dare troppo nell'occhio. Ricordiamo infine le principali aziende hanno già pubblicato o stanno per pubblicare patch correttive, ma anche che nella maggior parte dei casi la soluzione è solo parziale. Schouwenberg raccomanda agli amministratori d'installarla comunque sui propri server, perché può bloccare almeno gli exploit visti finora.
Insomma si sta correndo ai ripari da più direzioni, e la risposta al problema si può giudicare generalmente buona: secondo Wysopal tuttavia è solo questione di tempo prima che questa emergenza porti al nascere di un pericoloso worm autoreplicante, capace d'infettare milioni di computer in tutto il mondo. Secondo Schouwenberg, infatti, sarebbe relativamente semplice modificare l'exploit affinché cerchi da solo server vulnerabili e vi s'installi autonomamente. "Succederà senz'altro", conclude lo studioso in forza a Kaspersky.