Vous êtes plusieurs à m'avoir demandé plus d'informations sur la faille Shellshock et l'impact qu'elle peut avoir sur des machines connectées à Internet.
Voici un bref test réalisé sur une plage d'IP /24 d'un DSLAM Free démontant que de nombreuses personnes connectées à Internet semblent être vulnérables à la faille Shellshock découverte récemment sur Bash par un français.

Le test démontré consiste à envoyer à un ensemble de machines/box connectées à Internet un paquet HTTP forgé avec des entêtes HTTP contenant une injection de commande. Toutes les machines vulnérables qui passeront les valeurs des entêtes HTTP sous forme de variables Bash exécuteront la commande indiquée dans la requête sans le vouloir.

Dans le cas présent, l'instruction transmise aux machines est de m'envoyer un Ping réseau. Toutes les machines vulnérables à Shellshock au travers de leur serveur Web obéiront à ma demande et m'enverront un Ping.

Cette attaque est totalement bénin pour les machines distantes, mais elle démontre qu'un grand nombre de machines/box connectées à Internet sont vulnérables à ce type d'attaque.

Soyez très vigilant, il est probable que d'ici les prochains jours des vers / trojans se déploient largement sur le réseau via l'utilisation de cette faille de sécurité importante.