Shellshock ist ein Sammelbegriff für eine Reihe von Linux-Sicherheitsproblemen in der Bash-Shell. Bash ist das Standardterminal in vielen Linux-Distributionen, wodurch die Auswirkungen der Fehler besonders weit verbreitet waren.
Hinweis: Die Sicherheitsanfälligkeit hatte keine Auswirkungen auf Windows-Systeme, da Windows die Bash-Shell nicht verwendet.
Im September 2014 entdeckte Stéphane Chazelas, ein Sicherheitsforscher, das erste Problem in Bash und meldete es privat der Person, die Bash betreut. Er arbeitete mit dem Entwickler zusammen, der für die Wartung von Bash verantwortlich war, und es wurde ein Patch entwickelt, der das Problem behebt. Nachdem der Patch veröffentlicht und zum Download zur Verfügung stand, wurde die Art des Fehlers Ende September der Öffentlichkeit bekannt gegeben.
Innerhalb von Stunden nach der Bekanntgabe des Fehlers wurde er in freier Wildbahn und innerhalb eines Tages ausgenutzt Es gab bereits Botnets, die auf dem Exploit basieren, um DDOS-Angriffe und Sicherheitslücken durchzuführen scannt. Obwohl bereits ein Patch verfügbar war, konnten die Leute ihn nicht schnell genug bereitstellen, um den Ansturm der Ausbeutung zu vermeiden.
In den nächsten Tagen wurden fünf weitere Sicherheitslücken identifiziert. Auch hier wurden Patches schnell entwickelt und veröffentlicht, aber trotz aktiver Ausnutzung waren die Updates immer noch nicht verfügbar notwendigerweise sofort angewendet oder sogar sofort verfügbar in allen Fällen, was zu mehr Kompromittierung führt Maschinen.
Die Schwachstellen wurden durch eine Vielzahl von Vektoren verursacht, einschließlich CGI-basierter Webserver-Systemaufrufe, die falsch verarbeitet wurden. Der OpenSSH-Server erlaubte eine Rechteerweiterung von einer eingeschränkten Shell auf eine uneingeschränkte Shell. Schädliche DHCP-Server konnten Code auf anfälligen DHCP-Clients ausführen. Bei der Verarbeitung von Nachrichten hat Qmail die Ausnutzung zugelassen. Die eingeschränkte IBM HMC-Shell könnte ausgenutzt werden, um Zugriff auf eine vollständige Bash-Shell zu erhalten.
Aufgrund der Verbreitung des Fehlers sowie der Schwere der Schwachstellen und der rasanten Ausnutzung wird Shellshock oft mit „Heartbleed“ verglichen. Heartbleed war eine Schwachstelle in OpenSSL, die den Inhalt des Speichers ohne Benutzerinteraktion durchsickerte.