Cisco Systems e Oracle sono al lavoro per individuare i prodotti affetti dal bug Shellshock. Ricordiamo che la vulnerabilità, emersa qualche giorno fa, riguarda la shell Bash di Unix. I principali vettori di attacco sono i web server che eseguono script CGI e attraverso la SSH (Secure Shell), ma sono potenziali obiettivi anche altre applicazioni che interagiscono con la shell Bash.
Ad oggi Cisco ha individuato 71 prodotti esposti a vulnerabilità, fra cui applicazioni e servizi di rete, routing e switching, Unified Computing, e sistemi video, streaming e telepresenza. La società sta esaminando altri 168 prodotti, quindi l'elenco sembra destinato ad aumentare.
Finora Oracle ha pubblicato le patch Shellshock per nove prodotti: Oracle Database Appliance 12.1.2 2.x; Software Oracle Exadata Storage Server; Oracle Exalogic; Oracle Exalytics; Oracle Linux 4, 5, 6 e 7; Oracle Solaris Sistema operativo 8, 9, 10 e 11; Oracle SuperCluster; Oracle Virtual Compute Appliance Software e Oracle VM 2.2, 3.2 e 3.3.
Ulteriori 42 prodotti però usano la shell Bash in almeno una delle versioni, perciò potrebbero essere vulnerabili a Shellshock. Altri quattro sono attualmente in fase di studio per determinare se stiano o meno utilizzando versioni vulnerabili della shell Bash e altri fornitori con prodotti basati su Linux potrebbero pubblicare le patch in un prossimo futuro.
L'impatto complessivo della vulnerabilità Shellshock è difficile da quantificare, perché la pluralità dei vettori d'attacco rende complicato identificare i sistemi esposti a rischio.