Shellshock , también conocido como Bashdoor , [1] es una familia de errores de seguridad [2] en el shell de Unix Bash , el primero de los cuales se reveló el 24 de septiembre de 2014. Shellshock podría permitir que un atacante hiciera que Bash ejecutara comandos arbitrarios y ganara acceso no autorizado [3] a muchos servicios conectados a Internet, como servidores web, que utilizan Bash para procesar solicitudes.
El 12 de septiembre de 2014, Stéphane Chazelas informó al encargado de mantenimiento de Bash, Chet Ramey [1], de su descubrimiento del error original, al que llamó "Bashdoor". Trabajando con expertos en seguridad, el Sr. Chazelas desarrolló un parche [1] (solución) para el problema, al que para entonces se le había asignado el identificador de vulnerabilidad CVE - 2014-6271 . [4] La existencia del error se anunció al público el 24 de septiembre de 2014, cuando las actualizaciones de Bash con la corrección estaban listas para su distribución. [5]
El error que Chazelas descubrió hizo que Bash ejecutara comandos involuntariamente cuando los comandos se concatenan al final de las definiciones de función almacenadas en los valores de las variables de entorno . [1] [6] A los pocos días de su publicación, se descubrieron una variedad de vulnerabilidades relacionadas ( CVE - 2014-6277 , CVE- 2014-6278 , CVE- 2014-7169 , CVE- 2014-7186 y CVE- 2014-7187 ) . Ramey los abordó con una serie de parches adicionales. [7] [8]
Los atacantes explotaron Shellshock pocas horas después de la divulgación inicial creando botnets de computadoras comprometidas para realizar ataques distribuidos de denegación de servicio y escaneo de vulnerabilidades . [9] [10] Las empresas de seguridad registraron millones de ataques y sondeos relacionados con el error en los días posteriores a la divulgación. [11] [12]
Debido al potencial de comprometer millones de sistemas sin parches, Shellshock se comparó con el error Heartbleed en su gravedad. [3] [13]
El error Shellshock afecta a Bash , un programa que utilizan varios sistemas basados en Unix para ejecutar líneas de comando y scripts de comando. A menudo se instala como la interfaz de línea de comandos predeterminada del sistema . El análisis del historial del código fuente de Bash muestra que el error se introdujo el 5 de agosto de 1989 y se publicó en la versión 1.03 de Bash el 1 de septiembre de 1989. [14] [15] [16]