Shellshock er et fællesnavn for en række Linux-sikkerhedsproblemer i bash-skallen. Bash er standardterminalen i mange Linux-distributioner, hvilket betød, at virkningerne af fejlene var særligt udbredte.
Bemærk: Sårbarheden påvirkede ikke Windows-systemer, da Windows ikke bruger Bash-skallen.
I september 2014 opdagede Stéphane Chazelas, en sikkerhedsforsker, det første problem i Bash og rapporterede det privat til den person, der vedligeholder Bash. Han arbejdede sammen med udvikleren, der var ansvarlig for at vedligeholde Bash, og der blev udviklet en patch, der løste problemet. Når patchen var frigivet og tilgængelig til download, blev fejlens art frigivet til offentligheden i slutningen af september.
Inden for få timer efter annonceringen af fejlen blev den udnyttet i naturen og inden for en dag der var allerede botnet baseret på udnyttelsen, der blev brugt til at udføre DDOS-angreb og sårbarhed scanninger. Selvom en patch allerede var tilgængelig, var folk ikke i stand til at implementere den hurtigt nok til at undgå hastværket med udnyttelse.
I løbet af de næste par dage blev yderligere fem relaterede sårbarheder identificeret. Igen blev patches hurtigt udviklet og frigivet, men på trods af aktiv udnyttelse var opdateringerne stadig ikke det nødvendigvis anvendes med det samme eller endda tilgængelig med det samme i alle tilfælde, hvilket fører til flere kompromitterede maskiner.
Sårbarhederne kom fra en række forskellige vektorer, herunder CGI-baserede webserversystemopkald, der blev håndteret forkert. OpenSSH-serveren tillod en forhøjelse af privilegier fra en begrænset shell til en ubegrænset shell. Ondsindede DHCP-servere var i stand til at udføre kode på sårbare DHCP-klienter. Ved behandling af beskeder tillod Qmail udnyttelse. IBM HMC begrænsede shell kunne udnyttes til at få adgang til en fuld bash shell.
På grund af fejlens udbredte karakter såvel som sværhedsgraden af sårbarhederne og hastværket med udnyttelse, sammenlignes Shellshock ofte med "Heartbleed". Heartbleed var en sårbarhed i OpenSSL, der lækkede indholdet af hukommelsen uden brugerinteraktion.