Shellshock é um bug que usa uma vulnerabilidade no shellbash comum de execução de comando do Unix (Bourne-Again SHell) para permitir que hackers assumam o controle da máquina e executem remotamente código arbitrário diretamente no sistema.
Como ele ataca o shell bash do Unix, que é utilizado pela maioria dos outros grandes sistemas operacionais de desktop e móveis como Linux, Mac OS X, iOS, Google Android e até mesmo Microsoft Windows, o Shellshock tem o potencial de atacar muitos tipos de sistemas e dispositivos. Até o momento, porém, os relatórios de Shellshock em liberdade têm sido bastante limitados, com os ataques mais proeminentes visando servidores voltados para a Web e dispositivos de armazenamento conectado à rede (NAS).
Também se acredita que sistemas operacionais como OS X e Windows não expõem o bash a entradas fornecidas pelo invasor, que o Shellshock precisaria para controlar o computador. Resta a possibilidade, no entanto, de que outras vulnerabilidades possam ser descobertas que forneceriam uma maneira de entrar no sistema para Shellshock ou variantes do bug Shellshock.
Shellshock compartilha semelhanças com Heartbleed
O Shellshock compartilha semelhanças com o bug Heartbleed que ganhou grande atenção no início de 2014. Ambos são exemplos de vulnerabilidades de execução arbitrária de código (ACE) e possibilitam que um hacker explore uma ampla gama de computadores, servidores e outros dispositivos.
Enquanto o Heartbleed apenas se infiltrou na camada de segurança do sistema, o bug Shellshock compromete o centro do próprio sistema operacional.
Shellshock Bug, um Perfect 10 em Severity
O Instituto Nacional de Padrões e Tecnologia classificou a vulnerabilidade Shellshock como 10 em 10 em termos de gravidade, impacto e capacidade de exploração. Para agravar o problema, o Shellshock também tem uma classificação baixa na escala de complexidade, o que significa que tem o potencial de ser facilmente usado por uma grande porcentagem de hackers.