Ci sono molti post riguardo la vulnerabilità shellshock. Posso capire la vulnerabilità in dettaglio.
Tuttavia, sono curioso di sapere perché un qualsiasi sistema di rilevamento delle intrusioni o strumenti basati su host (ad es. sistemi antivirus) non riescano a rilevarlo?
Alcune risposte potrebbero includere Snort non ha la firma appropriata, ma almeno dovrebbero esserci alcuni altri sintomi che gli amministratori di rete dovrebbero capire che qualcosa di anomalo nella loro rete come la stringa di agente utente HTTP differisce (le soluzioni basate su host controllano che giusto?), il traffico in uscita potrebbe aumentare in modo anomalo o il numero di processi o l'utilizzo della memoria aumenterà nei server web rispetto ai normali limiti.
PS: questa domanda riguarda i server web che sono vulnerabili agli attacchi shellshock. Intendo in anticipo che dopo un breve periodo l'attacco viene tentato dall'attaccante.