به گفته کارشناسان امنيتي مخاطرات ناشي از بدافزار Shellshock به تنهايي نگران کننده نميباشد بلکه اهميت بيشتر آن به اين خاطر ميباشد که اين بدافزار ميتواند در نقش الگو و روشي جديد براي مهاجمين به منظور ايجاد بدافزارهاي جديد باشد. نکته مهم در خصوص اين بدافزار تنها داشتن آگاهي از خطرات Mayhem نيست بلکه Shellshock پيشرفتهترين متد آسيب پذيري ميباشد. از ديدگاه علمي و فني نحوه عمل اين بدافزار فراتر از روشها و تئوريهاي بکار رفته در بدافزارهاي پيشين است. دکتر مايک لويد مدير فني شرکت Redseal خاطر نشان ميسازد تهديدات اين آسيب پذيري به اساس عمليات رياضي پيچيده در خصوص احتمال وقوع رخداد براي قرباني ميباشد.
Ron Gula مدير عامل شرکت Tenable Security Center ميگويد: آسيب پذيري Mayhem با سوء استفاده از دو عامل بوقوع ميپيوندد.
?. اولي اجازه به کاربر براي ارسال فايل به سرور لينوکس از طريق پروتکل FTP
?. دومي ارسال فايلهاي مخرب توسط Shellshock
قبلاً تصور ميشد فايلهاي دريافتي تنها کد نوشتههاي PHP ميباشد. ولي در حال حاضر مشخص شده است که آنچه توسط سرور قرباني دريافت ميشود فايلهاي کتابخانهاي ELF مخرب ميباشند که اين فايلها پلاگينهاي آلوده و رمز نگاري شده را دريافت کرده و سپس از سرور قرباني بعنوان سکوي براي آغار حمله به سايتهاي ديگر استفاده ميکنند.
به گفته Ron Gula بسياري از سازمانها ارتباطي بين آسيب پذيري با درجه خطر متوسط با ارسال خودسرانه فايل توسط پروتکل FTP با بدافزار Shellshock متصور نميباشند. البته برخي از سازمانهاي که داراي سازوکارهاي امنيتي مناسب ميباشند شايد کد نوشتهاي که نشاندهنده وجود بدافزار Shellshok در داخل سازمان را پيدا نکنند و بطور طبيعي به ديگر مسائل امنيتي توجه نشان داده و ازآنچه که در حال شکل گيري ميباشد غافل شوند.
Adam Kujawa ميگويد: خاصيت خود تکثيري ويژگي خطرناک اين نوع بدافزارها ميباشد. چون بدافزار جديد داراي اين ويژگي بوده و ميتواند آسيبهاي جدي به سرويس دهندههاي بدون راهکارهاي محافظت کننده همچون آنتي ويروس، وارد نمايد.
به گفته Gula وقتي نميتوان بر روي يک سرور وصلههاي به روز رساني را نصب کرد بايد توسط لايههاي امنيتي ديگر نظير IPS، فايروالها و Web Applicationها، امنيت سرور را تامين نمود و پروسه نظارت و مانيتورينگ را تقويت کرد. به طور معمول وصلههاي به روز رساني براي اين کار کافي ميباشد هر چند آسيبهاي امنيتي مربوط به Shellshock به مرور زمان رو به افزايش ميباشد. از اقدامات مهم به منظور افزايش سطح امنيت در سيستمهاي لينوکس، مانيتورينگ تمام دستورات ورودي به سيستم و تهيه گزارش ميباشد و يا محدود کردن کاربران به اجراي دستورات خاص ميباشد. در صورتي که مهاجم و يا بدافزاري به حساب کاربري يک وب سرور دسترسي پيدا کرد، با شيوه بيان شده ميتوان از اجراي دستورات مخرب آن اطلاع پيدا کرد و آن را تشخيص داد. روش پيشگيري فوق ممکن است نه تنها براي بدافزار Mayhem مفيد بلکه براي حملات با نحوه عمل مشابه هم قابل استفاده باشد.
کارشناسان امنيت بر اين باورند که چه بسا در آيندهاي نزديک روش بدافزار Shellshock توسط مهاجمين مورد استفاده قرار داده شود دليل اين تمايل به پيروي از متد بکار گرفته شده در اين بدافزار بجاي خلق روشي جديد ميباشد. در واقع مهاجمين نميخواهند نرم افزاهاي مخرب خوب را که ميتوان از آن کمک گرفت، در نظر نگيرند بلکه به دنبال افزودن قابليتها و ويژگيهاي بدافزار Shellshock به تهديدات پيشين خود ميباشند. به نظر Kujawa دور از ذهن نخواهد بود که ويژگيهاي بدافزار Shellshock در ابزارهاي نفوذ و تست قابل حصول شود.
به گفته کارشناسان امنيت تا مادامي که ابزارهاي کشف نقطه ضعف Shellshock و راهکارهايي براي افزودن قابلت کشف اين نقطه ضعف در ابزارهاي قديمي ارائه ميشود، انتظار عرضه ابزارهاي جديد نفوذ بر اساس روش Bash bug کم ميباشد. بنا به اظهار نظر Rahul Kashyap طراح راهکار و مدير امنيت شرکت Bromium، مهاجمين ابزارهاي خود را با هدف استفاده از اين نقطه ضعف تجهيز خواهند کرد. اين دسته از مهاجمين با تغيير ظاهر کد بدافزارهاي موجود به آساني سامانههاي امنيتي پيشين را گول خواهند زد و در اصل با اين شگرد نيازي به ساختن بدافزاري جديدي نخواهد بود. اگر نتايج کارکرد بدافزار آلوده کنندهاي مانند بدافزار Mayhem که با ايجاد Botnet کار ميکند نيازهاي مهاجم رابرآورده سازد، امکان استفاده مجدد از Botnet پيشين را بطور گستردهتر و موثرتر ممکن خواهد کرد.
Martin Lee مدير تيم امنيت ميگويد: تمرکز و هدف مهاجمين ايجاد سازگاري ماشينهاي جديد تحت هر شرايطي با بدافزارها و شرايط جديد ميباشد. با ايجاد اين سازگاري هر بدافزار جديدي ميتواند از ضعف و نفوذهاي پيشين با اطمينان بهره ببرد.
بنا به توصيهي هميشگي کارشناسان امنيت، به روز رساني سيستم عامل با استفاده از وصلههاي ارائه شده توسط سازنده بسيار ضروري و مفيد ميباشد و ميتواند بعنوان اولين و مهمترين راه براي جلوگيري از ورود و نفوذ تهديد امنيتي باشد.
به گفته Mike Spanbauer کارشناس امنيت آزمايشگاه NSS، اگر چه داشتن روالهاي به روز رساني مشخص و مداوم ميتواند عامل بازدارنده مهمي براي به دور از خطر گذاشتن سرورها باشد ولي اين راه ممکن است هميشه کار ساز نباشد.