紅帽和蘋果等供應商仍然在努力修復Bourne-again shell(Bash)中的“Shellshock”漏洞，而現已有新的證據顯示攻擊者已經在試圖利用這個漏洞。

這個Bash安全漏洞(CVE-2014-6271)在公布后就引起廣泛的關注和猜測，很多安全專家稱這個漏洞可能比臭名昭著的Heartbleed OpenSSL漏洞更糟糕。攻擊者可以“在函數被Bash shell處理之前將惡意代碼放在函數最后”，從而觸發這個漏洞。Bash shell是Linux操作系統內的默認元素，也存在于蘋果的Mac OS X中。

這個漏洞非常危險的原因在于攻擊者可以很容易地利用它，這也是為什么該漏洞在通用安全漏洞評分系統(CVSS)被評為10.0的主要原因，10.0是該評分系統的最高評級;再加上該漏洞的普遍性，攻擊者得以迅速利用的行為并不足為奇。

首先，Errata Security公司首席執行官Robert Graham在其公司博客發布的研究顯示了如何通過掃描互聯網中易受攻擊的系統讓Bash安全漏洞變成“可攻擊”的漏洞。研究已經發現，攻擊者重寫Graham的腳本，以在易受攻擊的系統響應時來下載惡意軟件。攻擊者甚至在代碼(現在托管在GitHub)中提到了Graham的工作，代碼中添加了“Thanks-Rob”。

“有人正在使用masscan來提供惡意軟件，它們很可能已經感染了我所發現的大部分系統，”Graham在博客中表示，“如果他們使用不同的網址和修復Host字段，將能感染更多的系統。”

SANS研究所互聯網風暴中心負責人Johannes Ullrich在SANS網站的博客文章中證實，該研究機構的Web服務器已經遭受多次針對Bash漏洞的試探攻擊。Ullrich表示，攻擊者目前正在通過掃描調用CGI腳本，而尋找有漏洞的系統，同時，DHCP客戶端和SSH服務器也可能被利用。

AlienVault實驗室主管Jaime Blasco在該供應商的博客中發布了進一步的證據以說明攻擊者正在試圖利用Bash漏洞。AlienVault設置蜜罐來檢測漏洞利用，并在24小時內發現若干系統在掃描蜜罐以尋找易受攻擊的機器。

Blasco表示，更有趣的是，他們發現兩個攻擊者正在試圖安裝惡意軟件。第一次攻擊下載了可執行可連接(ELF)二進制文件來識別指紋和試圖竊取系統信息，它甚至包含代碼來識別蜜罐。該惡意軟件試圖連接至命令控制(C&C)服務器，并支持很多命令，其中一些被用于拒絕服務攻擊。

Blasco表示，AlienVault收集的其他惡意軟件樣本是一個重新啟用的IRC僵尸機器，看似是由羅馬尼亞語言的攻擊者控制的。該攻擊由PERL腳本啟動，這個腳本會感染一臺有漏洞的機器，然后該機器被連接到443端口的IRC服務器(185.31.209.84)。在受害者連接后，攻擊者會執行兩個命令—“uname-a”和“id”來查看用戶名和操作系統。

據Blasco表示，當AlienVault蜜罐系統被感染時，共有715名用戶連接到IRC服務器，在該博客文章發布時又有20多名用戶落入了僵尸網絡。