2014年シェルショック脆弱性

2014年9月に公表されたBashについての一群の脆弱性（CVE-2014-6271 ^[1] 等）の発見は、俗にシェルショック（Shellshock）、バッシュドア(bashdoor)と呼ばれている。 関連して6つの脆弱性が登録された。

これらの脆弱性のうち当初の主要なものは遠隔（リモート）からコマンドの実行を許してしまうものであり、直接的または間接的にBashスクリプトを実行しているサーバに対して巧妙に細工されたデータを注入することによって再現する。 この脆弱性は、影響範囲が広いのみならず、悪用することが容易であり、また悪用された場合の被害も大きいため深刻である ^{[2] [3]}。

2014年9月12日、発見者のStéphane Chazelasは、Bashのメンテナー（保守者）であるシェト・ラメイに連絡し、セキュリティ専門家と共に修正プログラムも開発した ^[4]。

後日、関連する他の脆弱性（CVE-2014-7169 ^[5] 等）も発見された ^[2]。 

背景

Bashは、様々なUnixベースのシステムにおいてコマンドラインやコマンドスクリプトを実行するプログラムとして使われている。 典型的な用例として、Linuxで動作しているWebサーバのCGIスクリプトの処理をbashが担っているケース、OpenSSHサーバがもつForceCommand機能に処理させるケース等が挙げられる。

最初に登録された3つの脆弱性のうち、主要なもの（CVE-2014-6271^[1]）は、Bashシェルにある環境変数で関数を定義できる機能に起因して、悪意あるコマンドを注入できてしまうものであった。

2014年9月24日、当初の主要な脆弱性（CVE-2014-6271^[1]）を解消するために修正プログラムが用意されたが、これでは想定されるすべての脅威に対応できていないことが判明して、同日に別の脆弱性（CVE-2014-7169^[5]）として登録された。

2014年9月25日、関連する脆弱性が2つ（CVE-2014-7186とCVE-2014-7187）追加登録され、翌2014年9月26日、これらがサービス不能に陥る脆弱性であることが公表された。

2014年9月27日、それまで内容が公表されていなかった当初からの2つの脆弱性（CVE-2014-6277とCVE-2014-6278）について、それぞれの概要が公表された。

攻撃の報告

2014年9月25日までに、この脆弱性を攻略したコンピュータから成るボットネットが攻撃者によって使われていた ^[6]。 これは、いわゆるゼロデイ攻撃の状況になっていたことを意味する。

2014年9月26日、シェルショック関連のボットネット「wopbot」が報告された。これは、アカマイ・テクノロジーズに対してDDoS攻撃を放ち、アメリカ国防総省を探査（スキャン）するために使われていた ^[7]。

2014年11月4日、トレンドマイクロは、SMTP（メール）サーバ上のBashを攻略してIRCボットをロードする攻撃を確認したと報告した ^[8]。

2014年下半期には、IBMのTokyo SOCは、公開サーバに対する攻撃の動向として「当初は大量の調査行為が行われていたが、その後の攻撃動向の調査により、サーバに対してDDoSやスパムを行うボットプログラムを埋め込もうとする試みが確認された」 ^[9] という。

2015年2月25日、警察庁（@police）は、この脆弱性の有無を調査したり攻略しようとするアクセスの急増を観測し、注意を呼びかけた ^[10]。