Shellshock est un bogue qui utilise une vulnérabilité dans le shellbash d'exécution de commande commun Unix (Bourne-Again SHell) pour permettre potentiellement aux pirates de prendre le contrôle de la machine et d'exécuter à distance du code arbitraire directement dans le système.
Parce qu'il se nourrit du shell Unix bash, qui est utilisé par la plupart des autres principaux systèmes d'exploitation de bureau et mobiles comme Linux, Mac OS X, iOS, Google Android et même Microsoft Windows, Shellshock a le potentiel d'attaquer de nombreux types de systèmes et d'appareils. À ce jour, cependant, les rapports sur Shellshock dans la nature ont été assez limités, les attaques les plus importantes ciblant les serveurs Web et les périphériques de stockage en réseau (NAS).
On pense également que les systèmes d'exploitation tels que OS X et Windows n'exposent pas bash aux entrées fournies par les attaquants, dont Shellshock aurait besoin pour pouvoir contrôler l'ordinateur. Il reste la possibilité, cependant, que d'autres vulnérabilités pourraient être découvertes qui fourniraient un moyen dans le système pour Shellshock ou des variantes du bogue Shellshock.
Shellshock partage des similitudes avec Heartbleed
Shellshock partage des similitudes avec le bogue Heartbleed qui a attiré l'attention au début de 2014. Les deux sont des exemples de vulnérabilités d'exécution de code arbitraire (ACE), et ils permettent tous deux à un pirate d'exploiter un large éventail d'ordinateurs, de serveurs et d'autres appareils.
Alors que Heartbleed n'a infiltré que la couche de sécurité du système, le bogue Shellshock compromet le centre du système d'exploitation lui-même.
Shellshock Bug a Perfect 10 en gravité
L'Institut national des normes et de la technologie a évalué la vulnérabilité Shellshock à 10 sur 10 en termes de gravité, d'impact et d'exploitabilité. Pour aggraver le problème, Shellshock est également classé bas sur l'échelle de complexité, ce qui signifie qu'il a le potentiel d'être facilement utilisé par un grand pourcentage de pirates.