Shellshock è un bug che utilizza una vulnerabilità nel comune shellbash di esecuzione dei comandi Unix (Bourne-Again SHell) per consentire potenzialmente agli hacker di assumere il controllo della macchina ed eseguire in remoto codice arbitrario direttamente nel sistema.
Poiché sfrutta la shell bash Unix, che è utilizzata dalla maggior parte degli altri principali sistemi operativi desktop e mobili come Linux, Mac OS X, iOS, Google Android e persino Microsoft Windows, Shellshock ha il potenziale per attaccare molti tipi di sistemi e dispositivi. Ad oggi, tuttavia, le segnalazioni di Shellshock in natura sono state piuttosto limitate, con gli attacchi più importanti rivolti ai server rivolti al Web e ai dispositivi NAS (Network-Attached Storage).
Si ritiene inoltre che i sistemi operativi come OS X e Windows non espongano bash all'input fornito dall'attaccante, di cui Shellshock avrebbe bisogno per essere in grado di controllare il computer. Rimane la possibilità, tuttavia, che vengano scoperte altre vulnerabilità che fornirebbero un modo nel sistema per Shellshock o varianti del bug Shellshock.
Shellshock condivide somiglianze con Heartbleed
Shellshock condivide somiglianze con il bug Heartbleed che ha ottenuto un'ampia attenzione all'inizio del 2014. Entrambi sono esempi di vulnerabilità di esecuzione di codice arbitrario (ACE) ed entrambi consentono a un hacker di sfruttare un'ampia gamma di computer, server e altri dispositivi.
Mentre Heartbleed si è infiltrato solo nel livello di sicurezza del sistema, il bug di Shellshock compromette il centro del sistema operativo stesso.
Shellshock Bug a Perfect 10 in Severity
Il National Institute of Standards and Technology ha valutato la vulnerabilità Shellshock come 10 su 10 in termini di gravità, impatto e sfruttabilità. Ad aggravare il problema, Shellshock è anche classificato in basso nella scala della complessità, il che significa che ha il potenziale per essere facilmente utilizzato da una grande percentuale di hacker.