Quelle vulnérabilité ciblée par un référateur HTTP commençant par () {:;}; / bin / bash
J'ai trouvé ce code, suivi de plusieurs commandes Bash téléchargeant et exécutant une charge utile à partir du Web, dans le champ de référateur de mes journaux d'erreur Apache. L'attaque semble fonctionner en convertissant un nom de commande en un nom de traval pour le corps de fonction vide, (){ :; }.
Cela tente clairement d'effectuer une injection de commande Bash. Quels serveurs, configurations ou modules pourraient être vulnérables à cette attaque?
Cela ressemble à une charge utile d'exécution de la commande à distance. La vulnérabilité d'exécution de la commande à distance est utilisée pour exécuter les commandes système avec le même priviliste que l'utilisateur Web Server. Cela conduit à un compromis total du serveur. Regardez l'article de Owasp à ce sujet pour plus d'informations.