Shellshock is een bug die gebruikmaakt van een kwetsbaarheid in de algemene Unix-opdrachtuitvoering shellbash (Bourne-Again SHell) om mogelijk hackers in staat te stellen de controle over de machine over te nemen en op afstand willekeurige code rechtstreeks in het systeem uit te voeren.
Omdat het aast op de Unix bash-shell, die wordt gebruikt door de meeste andere grote desktop- en mobiele besturingssystemen zoals Linux, Mac OS X, iOS, Google Android en zelfs Microsoft Windows, heeft Shellshock het potentieel om vele soorten systemen en apparaten aan te vallen. Tot op heden zijn de meldingen van Shellshock in het wild echter vrij beperkt geweest, met de meest prominente aanvallen gericht op webgerichte servers en Network-Attached Storage-apparaten (NAS).
Er wordt ook aangenomen dat besturingssystemen zoals OS X en Windows bash niet blootstellen aan invoer van de aanvaller, die Shellshock nodig zou hebben om de computer te besturen. De mogelijkheid blijft echter bestaan dat er andere kwetsbaarheden kunnen worden ontdekt die een weg naar het systeem voor Shellshock of varianten van de Shellshock-bug zouden bieden.
Shellshock deelt overeenkomsten met Heartbleed
Shellshock deelt overeenkomsten met de Heartbleed-bug die begin 2014 veel aandacht kreeg. Beide zijn voorbeelden van kwetsbaarheden voor arbitraire code-executie (ACE), en ze maken het voor een hacker mogelijk om een breed scala aan computers, servers en andere apparaten te misbruiken.
Terwijl Heartbleed alleen de beveiligingslaag van het systeem infiltreerde, brengt de Shellshock-bug het centrum van het besturingssysteem zelf in gevaar.
Shellshock Bug a Perfect 10 in Severity
Het National Institute of Standards and Technology heeft de Shellshock-kwetsbaarheid beoordeeld als een 10 op 10 in termen van ernst, impact en exploiteerbaarheid. Als aanvulling op het probleem staat Shellshock ook laag op de schaal van complexiteit, wat betekent dat het gemakkelijk door een groot percentage hackers kan worden gebruikt.