Derfor er Bash-sårbarheden kritisk: 'Shellshock' kan ramme et hav af systemer

Bash-sårbarheden kaldet Shellshock kan ramme alt fra Linux, Android og Mac til routere, tunge industrisystemer og Internet of Things. Tjek her, om du overhovedet kan gøre noget for at beskytte dig.

Artikel top billede

Som Computerworld fortalte torsdag, er der fundet en kritisk sårbarhed det Bash-shell kommandoværktøj, der findes i både Linux og Unix og i Apples Mac OS X.

Det viser sig dog, at en række andre systemer også kan være i risikozonen, fordi de netop bygger på de førnævnte systemer - heriblandt finder vi Android, routere og enheder, der indgår i Internet of Things.

Bash har eksisteret siden 1989 og er et meget udbredt værktøj i mange Linux/Unix-baserede systemer.

Sådan kan det misbruges

Shellshock, som sårbarheden er blevet døbt, betyder, at kriminelle kan foretage et fjernangreb med ondsindet kode via den Bash-shell, der findes i systemerne.

Flere eksperter sammenligner Shellshock med den meget omtalte Heartbleed-sårbarhed, og nogle mener sågar, at risikoen for at blive ramt af Shellshock kan vise sig at være et langt mere alvorligt problem.

Heartbleed-sårbarheden betød blandt andet, at adgangskoder og brugernavne og andre private oplysninger kunne havne i de forkerte hænder via den sårbarhed, der var i OpenSSL.

Med Shockshell er truslen snarere, at de kriminelle kan tage kontrollen over de sårbare systemer, fordi de får mulighed for at afvikle kode via Bash-kommandoværktøjet.

"Vi ser angreb nu"

Sikkerhedsselskabet Trend Micro gennemgår i et længere blogindlæg Bash-problemet og skriver blandt, at andet denne sårbarhed er "udbredt, potentielt kan forårsage betydelig skade og kræver en meget lille teknisk viden at udnytte."

"Fordi Linux er at finde i halvdelen af serveren på internettet, Android-telefoner og størstedelen de enheder, der er i Internet of Things (IoT), rammer det meget bredt," skriver Trend Micro.

Sikkerhedsselskabet mener sågar, at Bitcoin også kan blive ramt, fordi Bitcoin Core kontrolleres af Bash.

"Vi ser allerede angreb derude nu," føjer Trend Micro til.

Heldigvis har flere af Linux-distributionerne allerede fået en opdatering, der kan lukke hullet, og det anbefales ikke overraskende, at man sætter gang i fingrene på tastaturet med det samme og får udrullet patchen.

Mac- og Android-brugere må vente

Der er dog fortsat rigtig mange brugere, der må vente på en løsning:

"Fixes til Android-telefoner og andre enheder skal komme fra producenterne (hvis de overhovedet kommer)," skriver Trend Micro.

Trend Micro har disse fire anbefalinger:

1) Er du almindelig slutbruger, må du vente og holde øje med en opdatering til din Mac, Android-telefon og andre enheder.

2) Kører du med et Linux-system, skal du udrulle en opdatering af Bash med det samme.

3) Har du Linux/Apache-webservere, der køres ved hjælp af Bash-scripts, bør du overveje at bruge noget andet end Bash, indtil der findes en løsning.

4) Er du kunde til en hosted service, skal du tage kontakt til din leverandør og finde ud af, om denne er sårbar - og hvilke planer for beskyttelse, leverandøren har.

For de mere avancerede Mac-brugere, har Apple en vejledning til, hvordan man skifter terminal shell fra eksempelvis bash til en anden - den findes her.

Webservere og industrisystemer 
Selvom Shellshock altså umiddelbart er en trussel mod mange forskellige typer af systemer, vurderes det flere steder, at det primært er webservere og industrisystemer, hvor de it-kriminelle vil kunne gøre størst skade ved at udnytte sårbarheden.

"Der er en masse ting, der kalder Bash, og jeg vil godt vædde med, at der er ting i de fleste miljøer, der kalder Bash, uden at de ved af det," udtalte en chef fra Red Hat torsdag.

Threatpost har en fin gennemgang af trusler mod de forskellige industrisystemer her og skriver blandt andet, at truslen ikke bliver mindre, når mange af systemerne er forældrede og kun kan patches ved at tillade nedetid, hvilket man typisk ikke gør i tide og utide.

Selvom Shellshock altså fra stort set alle sider betegnes som en kritisk sårbarhed i nogle meget udbredte systemer, så mangler vi endnu at se, hvad de konkrete problemer kan være.

Sådan kan det - måske - ramme dig

En sikkerhedsrådgiver fra virksomheden Veracode udtaler til nyhedsbureauet AP, at Shellshock eksempelvis vil kunne udnyttes til at tage kontrollen over en Mac, der er sluttet til et offentligt Wi-Fi-netværk, ligesom man kan forestille sig, at Bash-hullet kan udnyttes til at sende virus i omløb.

Samtidig understreges det dog, at det fortsat er tale om teoretiske, potentielle trusler - ikke konkrete angreb, der allerede finder sted.

Danske CSIS har vurderet, at "et større antal services og applikationer samt Debian og andre Linux distributioner er sårbare overfor eksterne angreb og er i risiko for komplet systemkompromittering."

"Sårbarheden har en grad af alvor, som kaster den ud i næsten samme kategori som Heartbleed," lød det torsdag fra CSIS.

Læs også:

Alvorlig sårbarhed opdaget: Kan ramme Linux, Unix og Mac OS X

Værd at vide om Heartbleed: Fem ting der kan hjælpe dig

Annonceindlæg fra Deloitte

Teknologi i sig selv forandrer ikke noget:

AI skal væves ind i kultur og processer for at skabe reel forretningsværdi

Netcompany A/S

Network Engineer

Københavnsområdet

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Tekniske specialister til ITSM og CMDB til opbygning af Forsvarets nye Digital Backbone

Midtjylland

Capgemini Danmark A/S

Microsoft AI Solution Architect

Københavnsområdet

Navnenyt fra it-Danmark

IFS Danmark A/S har pr. 2. marts 2026 ansat Marlene Gudman som HR Business Partner. Hun skal især beskæftige sig med HR i Danmark og Norden og lede udvalgte internationale HR-projekter. Hun kommer fra en stilling som Nordic Lead HR Business Partner hos Salesforce. Hun har tidligere beskæftiget sig med international HR med fokus på udvikling af og udfordringer i HR ud fra et forretningsperspektiv. Nyt job

Marlene Gudman

IFS Danmark A/S

Lauren De Ventura,  emagine Expertise A/S, er pr. 1. juli 2026 udnævnt som Chief People Officer, fast del af den globale ledelse og bestyrelsesmedlem. Hun er uddannet HR-ledelse på tværs af konsulent-, staffing- og IT-branchen. Hun beskæftiger sig med skabe rammerne for emagine som et sted, hvor IT-talenter kan opbygge meningsfulde karrierer. Udnævnelse

Lauren De Ventura

emagine Expertise A/S

SAP SuccessFactors Partner Pentos har pr. 1. marts 2026 ansat Plamena Cherneva som Seniorkonsulent indenfor SuccessFactors HCM. Hun skal især beskæftige sig med konfiguration og opsætning af SuccessFactors suiten, samt udvikle smarte løsninger til mellemstore danske virksomheder. Hun kommer fra en stilling som løsningsarkitekt indenfor HR IT hos LEO Pharma. Hun har tidligere beskæftiget sig med HR procesdesign, stamdata og onboarding. Nyt job

Plamena Cherneva

SAP SuccessFactors Partner Pentos

Pinksky ApS har pr. 1. maj 2026 ansat Jeppe Spanggaard, 29 år,  som Rådgivende konsulent, Partner. Han skal især beskæftige sig med Digitalisering med Microsoft-platformen. Han kommer fra en stilling som Microsoft 365 & SharePoint Specialist hos Evobis ApS. Nyt job

Jeppe Spanggaard

Pinksky ApS